很多时候开发客户端,需要用到一些付费接口,key 什么的不方便存在客户端,要是有一个中转服务就好了,接口请求直接到中转那里,中转把 key 添加上去。
所以有没有这种服务呢?无开发量那种。
所以有没有这种服务呢?无开发量那种。
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
This topic created in 1925 days ago, the information mentioned may be changed or developed.
Supplement 1 · Mar 6, 2021
API Gateway 应该就是我需要的,谢谢大家
Supplement 2 · Mar 6, 2021
API Gateway 应该就是我需要的,谢谢大家
 |
1
brust Mar 5, 2021
短链
|
 |
3
br_wang Mar 5, 2021
key 、token 什么的,也不方便存在第三方吧……
|
 |
4
eason1874 Mar 5, 2021
有,API 网关就是干这活的,云服务厂商都有,按量付费,请求+流量分别计费
|
 |
5
zhuweiyou Mar 5, 2021
云函数 + API 网关
|
 |
6
pelloz Mar 5, 2021
很奇怪。。为什么你不自己部署一个 nginx 转发
|
 |
8
ntdll Mar 5, 2021
其实没差别啊。
如果用户侧持有某个 KEY,可以导致其访问某个业务。 现在你通过中转服务隐藏 KEY,用户侧直接访问这个中转服务,一样可以访问其业务。 本质上没多大区别呀。 鉴定可信终端不是依靠信息不对称实现的。 |
 |
9
aisk Mar 5, 2021
然后发现这个中转服务会被人乱调,所以在中转服务上也加了一套 key 做验证。过了几天又有人问,有没有办法给这类中转服务器做一个中转?
|
 |
10
jimmyismagic Mar 5, 2021
自己写一个中转,简简单单的事情,把 key 存在别人那儿,始终不安全
|
 |
11
lewinlan Mar 5, 2021 via Android
现写一个不就几分钟的事吗
|
 |
12
devliu1 Mar 5, 2021
自己随便写一个 server 包装下就完事了
|
 |
13
john990 OP |
 |
14
jim9606 Mar 5, 2021
@gam2046 有意义的,通常这个 apikey 都是外部服务商给的,如果因为外部原因要更换就很麻烦。用上 api 网关之后客户端和网关间的身份验证就完全由内部掌控了,同时像什么调用频率限制也会更容易实现。
|
 |
15
chinvo Mar 5, 2021 via iPhone
中转那边不是也得做鉴权……
|
|
16
ntdll Mar 5, 2021
@jim9606 #14 那这个需求的本质其实是做一层隔离,而隔离的目的并不是为了安全,而是为了解耦。
解耦,这样的设计是具有积极意义的,并且在实际生产环境中也很常见。 安全,如果非要说这样兜一圈安全性有什么提升,应该就是自己做一些额外的校验工作,例如频率限制、限制来源、负载均衡,添加原后端请求不支持的安全参数等,但这样就不是一个简单的服务的包装了,这更接近于业务逻辑。涉及业务层一般就不太会有楼主希望的那种第三方或者比较具有通用性的统一包装服务了。 |
 |
19
opengps Mar 5, 2021 via Android
用个临时域名,限制主机头访问
|
 |
20
mooyo Mar 5, 2021
openresty 搞一搞
|
 |
21
imycc Mar 5, 2021
没听说过通用的,一般都是公司内某个中台服务团队来干这种事吧。
对外提供一个只能做有限功能的接口,对内封装第三方厂商的鉴权及业务逻辑。 如果要客户端直通第三方服务的话,类似的东西我只听过阿里云的 STS,临时下发一个 Token 给客户端。 |
|
22
eason1874 Mar 6, 2021
@john990 API 网关可以自定义 path,header,query 。如果后端 key 是固定的,在 API 网关网页控制台就能配置好转发了,如果 key 是根据参数计算的,那就要用上云函数了,避免不了代码。
|
 |
24
akira Mar 6, 2021
有的呀,api 网关 其中一个作用就是 整合不同接口的差异化
|
 |
25
daimaosix Mar 7, 2021 via Android
Nginx 反向代理就行
|
Select Language