API在私有和公共端的安全性

Question

首先，我想为我糟糕的英语写一篇文章，我来自荷兰。

在学校实习的时候，我读了很多关于API的内容，看了很多视频，但是安全选项对我来说还不清楚。我读了一些关于Oauth，saml和openID的文章，但是我不知道我能在我的情况下使用哪一个。

​

​

这就是我要创造的局面。我需要增加两个保安。一个是私人(内部)方面，一个是公共方面。

专用(内部)侧

对于私人方面，我找不到任何解决办法。我想我可以用oauth来做这个。但是我找不到有哪些流，也找不到webflow)，不知道我需要使用哪一种流。这是我的意思(youtube)我也读过关于堆栈溢出的主题，但是我找不到关于这个问题的明确答案。

私有端的后端永远不会改变，私有端永远不会有更多的api网关或后端。没有人需要访问后端，只有API网关。

公共侧

在公共方面，有很多种客户端，但是他们不需要使用凭据登录。我只想知道哪个应用程序使用了我们的API，以及它们建立了多少连接。我将能够禁用一个客户端的访问权限。我也是奥奥斯出来的。但是，我找到的工作流程是用户凭证，但我不需要识别每个独立的用户。

有人能帮我找到一个好的或最佳实践的安全方法为我的情况吗？

Answer 1

你不必关心OAuth。只需(1)向每个客户端应用程序颁发一对API密钥和API机密(= API凭据)就足够了；(2)要求对Web的API调用与API凭据一起提供。

只有当您的web服务有最终用户并且您希望允许第三方客户端应用程序以受限的权限访问最终用户的数据时，OAuth才是必需的。