Я разрабатываю веб-API, который будет вызываться другими веб-приложениями на том же узле Azure, а также другими сторонними службами / приложением. В настоящее время я изучаю приложения API и управление API, но мне неясно несколько вещей, касающихся реализации безопасности:
- Требуется ли для приложения API аутентификация при реализации с помощью управления API? Если да, то какие варианты? Эта ссылка http://www.kefalidis.me/2015/06/taking-advantage-of-api-management-for-api-apps/ упоминает "Имейте в виду, что нет необходимости иметь аутентификацию в приложении API, поскольку вы можете включить аутентификацию по управлению API, и пусть он обрабатывает все детали ». Значит, это означает, что проверка подлинности приложения API будет общедоступной анонимной? Но тогда тот, кто знает прямой URL-адрес приложения API, может получить к нему доступ напрямую.
- Как лучше всего реализовать безопасность управления API? Тот, который упоминается в руководстве (наличие необработанного ключа подписки, переданного в заголовке), похоже, подвержен атаке человека в середине.
- Какие преимущества добавляет приложение API вместо реализации с помощью обычного проекта веб-API?
Заранее спасибо.