Azure API管理- Api安全性

Question

在我的公司，我们正在使用azure管理。我正在阅读微软的文档，我专注于产品和订阅。在2API上，我开始应用带有相关订阅的产品(我将该产品传递给开发人员，他们正在使用我们的移动应用程序)。在99%的api上，我们将jwt验证策略作为安全层来实现。

根据开发要求，有一两个api是在没有订阅或jwt验证的情况下公开的。我不明白订阅和它们的用途。我想在没有jwt策略的情况下为api生成一个特定的订阅密钥，但我认为这不是正确的方法，因为密钥将被硬编码到我们的移动应用程序中，并且很容易被窃取。

在这里，政策jwt：

        <validate-jwt header-name="Auth-token" failed-validation-httpcode="401" failed-validation-error-message="Unauthorized" clock-skew="600">
        <issuer-signing-keys>
            <key certificate-id="jwt" />
        </issuer-signing-keys>
    </validate-jwt>

在这种情况下，还有其他一些api管理方法要实现吗？还是订阅就够了？

Answer 1

正如您所说的，订阅键将被硬编码，您还可以手动旋转它。

使用承载令牌的Jwt是一种更好的方法，因为令牌有过期日期，这使它们更好。

如果您想要RBAC，Azure活动目录也是很好的。

有关更多详细信息，请参阅以下文档。