EnOS™ APIM 安全机制¶
EnOS APIM 的定义¶
EnOS API Management可提供完整的生命周期管理服务,其中包括 API 创建、配置、部署、监控、开放平台和其他功能。它能够帮助开发人员通过 API 向应用公开数据和服务。它的主要功能如下所述。
API创建:为API开发人员提供API的设计、登台、托管和类别管理
API配置:提供丰富的配置选项集,有助于增强API安全授权、流量限制、日志服务和其他功能
API部署:快速便捷地将API发布并部署到多个环境
API监控中心通过监控、分析、预警和其他功能确保服务端API的稳定性
API开放平台能够将多方链接到APIM平台,以实现API交易、开发人员社区和培训支持,并建立开放的API经济。
EnOS APIM 安全规则¶
开发人员将服务开放给外部应用时,应首先确保服务的安全性,并防止恶意外部访问对公司业务的影响,尤其是与数据湖有关的服务。此外,应充分考虑安全性。为了确保安全性,必须要考虑建立通信链接、对通信数据进行加密、数据完整性、不可否认性等。
当API请求到达APIM时,它需要经过严格的身份认证和权限认证才能到达后台服务。通常,APIM提供以下安全认证方法。
SA认证:设置安全密钥和访问密钥。API调用信息会带有SA的Key和Secret,APIM会以此来校验Key和Secret是否匹配以及SA的合法性。这是直接重用EnOS应用注册的关键,并且可以通过 SA身份验证实现基本的安全功能。
OU身份验证:提供Orgid对称加密,以验证应用请求和后台服务是否在相同的OU权限下。
令牌:EnOS采用自定义的API令牌逻辑,主要用于实现令牌发行、令牌验证、令牌有效性处理、令牌替换等基本功能。
目前,APIM通过令牌认证要求调用者下载用于安全认证的SDK,并将其集成到应用中,以便通过令牌安全及时性来验证应用的私钥。
目前,您可以使用应用访问密钥、秘密密钥和系统时间戳生成访问令牌,然后使用访问令牌调用EnOS API。您需要在EnOS管理控制台上注册一个应用,获取该应用的访问密钥和秘密密钥,这两个密钥分别对应于Get Access Token API 的 appKey 和 appSecret 这两个请求参数的值。
APIM 提供了以下访问令牌功能:
Get Access Token(获取访问令牌):通过提供包含应用密钥、时间戳和应用秘密的 SHA256 加密消息,可以获取访问令牌。访问令牌将在 2 小时后过期。
Refresh Access Token(刷新访问令牌):在访问令牌到期之前,可以通过提供加密消息(原始访问令牌)来刷新令牌。
使用访问令牌调用 API:只要持有有效的访问令牌,便可通过添加以下所列标头的方式来调用带有令牌的 API:
apim-accesstoken:有效的访问令牌字符串
apim-signagure:SHA256 加密消息,其中包含访问令牌、查询参数、时间戳和应用密钥
IP 控制黑/白名单:黑/白名单也是安全保护的基本功能。实际上,核心在于在调用时判断 IP 地址的黑/白名单。
此外,当 APIM 将请求路由到后台服务时,开发人员还可以提供自己的服务及安全认证。
定制加密:数据包加密的关键机制是秘密密钥,通过非对称加密来确保安全性,通过使用对称加密的业务消息或密钥字段来确保安全性,也可以通过白盒加密技术来增强安全性;对于安全性来说,这部分内容涉及很多方案和实施方法。随后我们将单独写一篇有关加密的文章,深入探讨更多详情;
API网关权限:每个开发人员都可以控制调用请求API网关权限;实际上,这种控制是 1~N 个网关关系下的一种背景服务,可用作独占访问权限来建立APIM。