多平台统一管理软件接口,如何实现多平台统一管理软件接口
275
2023-05-20
管理API的需求源自于Web API开展业务。从2006年开始,然后逐渐成熟,并在2016年之前进入市场。无论是通过代理现有API的管理网关、本身作为用于部署API本身的网关的一部分,还是作为连接层在代码中,API管理就是针对API进行编辑、测试、发布、身份验证,计量,分析报告、监控等。在过去十年中,API管理提供商共同定义了一些使用Web API完成业务的常用方法。虽然API技术非常技术化,但它依旧与API业务密切有关,并且通过使用Web提供对数据,内容,算法和其他数字资源的访问所产生的价值。下面将通过几个关键词的形式说明API管理的重要性和实现方式。
保护API环境涉及每个API接触点,对API客户端(第三方应用程序和开发人员或微服务)进行身份验证和授权,限速API调用以缓解分布式拒绝服务(DDoS)攻击并保护处理后端应用程序API调用。
用于保护API的一些技术和工具是: 1)使用JSON Web Token(JWT)来验证和授权API客户端,JWT包括有关客户端的信息,例如管理权限或到期日期。当客户端向JWT提供其API请求时,API网关会验证JWT并验证其中的声明是否与你为客户端请求的资源设置的访问策略相匹配。
2)定义和实施访问控制策略,仅允许某些类型的客户端执行写入操作或访问敏感数据(如定价)。
3)定义基于角色的访问控制,该控制仅允许某些用户(例如特定组织内的开发人员)发布敏感信息(如定价或库存水平)的API。
4)通过应用速率限制策略来保护API本身,该策略设置API网关从指定源(例如客户端IP地址)每秒(或其他时间段)接受的请求数量的阈值。
5)使用HTTPS保护后端应用程序 – 应该在API网关和处理API请求的后端系统之间使用HTTPS协议。 限制和配额的断路器,一个好的做法是强制执行每个应用程序的数据使用配额,以便在DoS,DDoS攻击或防止未经授权的用户不正当使用API时,后端不会受到影响。每个资源的节流和配额不仅可以作为断路器,还可以防止系统产生负面影响。具有配额和限制等策略的复杂API管理平台可提供此功能。API安全方法的三个关键领域:
1)采用说明性方法。客户转向OAuth 2并使用Open ID Connect进行覆盖,OAuth 2有很多选择,Open ID虽然限制了选择但也指导出最佳实践。
2)仔细考虑应用程序ID如何与用户身份相关联。
3)从最广泛的意义上考虑API安全性,以减少入侵企图。可以采取分发安全实施的方法。默认情况下,API管理专注于提供API网关,而API网关应该专注于流量的身份验证和授权。建议采用多层方法,并在Apache Mod Security的单独层中包含Web应用防火墙。部署API有许多重要元素,包括身份验证,保护/可用性和货币化。但是如果不使用API,其中许多都无关紧要。易于使用和成功完成用例是被使用的关键。我们的集成平台使API易于使用。
通过我们的应用程序连接器,我们可以简化许多API的使用。API中的最后一个字母是“界面”,因此明确定义该界面如何工作是十分重要的。客户如何使用你的API,以及开发人员如何将这些API推向市场,你需要提前做出一些重要的架构决策。随着API数量的增长,保持命名和数据格式的一致性变得很重要。当你提供5-10个API时,这并不是什么大问题,但是当数量超过100时,你可能有多个人(或多个团队)在不同的时间段创建它们,作为不同产品的一部分引入等等,让所有团队轻松了解并执行现有规范至关重要。如果这些规范不统一且难以阅读,那它一定会导致问题。
具有以下四个主要元素:
1.API生命周期管理,提供管理API整个生命周期的能力,从API的设计、开发、发布和管理(包括维护和版本控制),从而允许公司通过撰写创新解决方案来加速创新,提高开发效率,促进企业数据的更好安全性,并允许用户轻松发现和使用API。 2. API网关,API网关充当一组API的入口点。使用API网关的好处是为每个客户端提供最佳API,减少客户端需要进行的请求数量并实施适当的安全性和控制。 3.文件,Developer Portal是提高API采用率和粘性的关键。这是开发人员学习和使用API的第一点,也是开发人员了解身份验证/授权机制的地方。此外,他们还将了解哪些API可供使用,并利用每个API请求的描述和示例。 4. API分析/监控,API分析和监控可帮助了解和理解其API的使用情况,从而提供有关各种API使用的见解。或者,开发者可以强制执行API配额,限制和API流量,以阻止/限制与你的业务目标不一致的使用。在国内的API接口管理工具中,能完整实现API管理全流程并且体验较好的平台和工具就是 EOLINKER了,包括接口文档编辑、API测试、自动化测试和API监控和API网关等功能,能体验到完整的API研发方案。而国外的诸如POSTMAN、Swagger功能也很强大,但是前者注重测试,后者注重接口管理,可能并不全面,而且全英的语言对国人也不是很友好。因此有需求或者感兴趣可以各自了解下EOLINKER、POSTMAN、Swagger。
在选择API管理解决方案时,最好的建议是始终保持关系简单,模块化,强独立性并与API生命周期中的其他模块分离,并保持业务参与度有限,使得可以在没有冗长合同的情况下不断使用成长。API生命周期中的每一阶段都应该反映API的理念,并保持小巧,分离,专注做好该阶段目标。
参考资料:
Kin Lane,API Life Cycle Basics: API Management,https://dzone.com/articles/api-life-cycle-basics-api-management
Tom Smith,Keys to API Management,https://dzone.com/articles/keys-to-api-management
版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。
发表评论
暂时没有评论,来抢沙发吧~