Une application web (war) fournit deux jeux d'API HTTP, l'un est public pour les clients sur Internet, l'autre est interne et ne doit pas être public sur Internet. Quelle est la meilleure pratique en matière de déploiement réseau pour protéger l'API interne?Une application Web fournit à la fois API publique et interne, comment protéger l'API interne?
Je sais qu'une façon courante est de diviser l'application en deux déployables, mettre le frontend qui sert API publique dans DMZ et mettre le back-end qui sert API interne dans le réseau interne. Mais pour une raison quelconque, je veux garder l'application en tant que déployable.
Je suis d'accord avec Daniel. Ne pas être OAuth, mais utiliser une authentification pour l'API (et HTTPS) et un contrôle d'accès stuff type de liste pour limiter l'accès. –
L'authentification aide, mais je cherche un moyen d'empêcher le client externe atteint l'API interne. Parce que les informations d'identification d'authentification peuvent être divulguées. L'API interne est une sorte d'interface d'intégration pour un autre système. Je ne sais pas si le proxy inverse aide? – aleung