如何建立有效的API安全策略（完结篇）

如图6所示，外部API网关执行身份认证以及其他功能，例如内容检查，然后使用诸如JSON web令牌之类的标准，将安全内容“注入”到API调用中。接下来，微网关可以使用此安全内容信息执行细粒度授权。您也可以选择，使用外部化访问管理产品，来执行该细粒度授权，例如Axiomatics Policy Server。如果API调用得到了授权，那么微网关会将它们传递给微服务本身。这是边缘到端点安全策略的一个好处。确保表1中列出的所有相关利益者都能看到这个过程。最后，抵制诱惑，不是自己去构建API安全策略，而是使用现成的产品，从而来获得API安全性的好处。