这个问题在这里已有答案:
我已经在亚马逊API网关上部署了我的其余API,我面前有一个安全问题的场景 . 我正在使用api密钥来处理所有api请求,我想知道api密钥是否以某种方式暴露出来,因为我们知道已经发布的应用程序正在使用相同的api密钥......那么我的选择是什么?
同样如此处所述,如果我希望api密钥对每个用户来说是唯一的,那么每个AWS账户只能有10000个API密钥,因为它更安全,但如果用户数量超过10000则会怎样 .
建议不要使用API密钥进行授权 . 从每个API密钥收到的呼叫都会受到监控,并包含在您可以为每个阶段启用的Amazon CloudWatch Logs中 .
您应该使用API密钥来监视第三方开发人员的使用情况,并利用更强大的授权机制,例如IAM或custom authorizers .
1 回答
建议不要使用API密钥进行授权 . 从每个API密钥收到的呼叫都会受到监控,并包含在您可以为每个阶段启用的Amazon CloudWatch Logs中 .
您应该使用API密钥来监视第三方开发人员的使用情况,并利用更强大的授权机制,例如IAM或custom authorizers .