Une application Web fournit à la fois API publique et interne, comment protéger l'API interne?

Question

Une application web (war) fournit deux jeux d'API HTTP, l'un est public pour les clients sur Internet, l'autre est interne et ne doit pas être public sur Internet. Quelle est la meilleure pratique en matière de déploiement réseau pour protéger l'API interne?

Je sais qu'une façon courante est de diviser l'application en deux déployables, mettre le frontend qui sert API publique dans DMZ et mettre le back-end qui sert API interne dans le réseau interne. Mais pour une raison quelconque, je veux garder l'application en tant que déployable.

Answer 1

Enfin, nous introduisons un proxy inverse pour cacher les API dans le réseau interne. Les clients d'Internet est seulement capable de se connecter au proxy inverse, le proxy inverse est configuré pour ne transmettre les demandes à l'API publique à l'application.

Answer 2

Il y a quelques choses que vous pourriez essayer ici. Pour l'API privée, je suggérerais de le couper dans sa propre application qui écoute sur une adresse locale seulement. Si vous devez les garder ensemble, vous pouvez mettre en œuvre une sorte de configuration oauth qui est nécessaire pour utiliser l'API interne, ce qui rend les utilisateurs afin que des jetons OAuth valides peuvent compléter la demande de l'API aux ressources limitées.