我一直在探索apigee和okta配置使用https://github.com/tom-smith-okta/okta-api-center 回购。在这里,apigee edge充当通往https://okta-solar-system.herokuapp.com/ api和用于身份验证的令牌通过okta生成。我的理解是https://okta-solar-system.herokuapp.com/ 没有任何okta身份验证强制。支票通过阿皮吉。
如果我要替换https://okta-solar-system.herokuapp.com/ 对于公开托管的spring引导应用程序,应用程序是否应该启用okta安全性(例如:https://github.com/oktadeveloper/okta-spring-boot-oauth-example)或者我是否应该遵循上述相同的程序并将代币的强制执行委托给apigee,在spring启动应用程序上没有任何安全强制?
有人能告诉我我应该遵循什么样的标准实施方式吗?
1条答案
按热度按时间o7jaxewo1#
如果springboot应用程序没有安全强制,那么如何防止有人绕过apigeeapi网关并直接调用它呢?
如果您成功地保护了spring启动应用程序,以便只有api网关可以与其通信(通过相互tls连接、ip允许列表等),那么您可能可以放弃服务级别的任何强制措施,但我建议您在服务本身中执行一些授权检查。