API Gateway：API安全問題

移動端的AppKey安全怎麼保障？

AppKey是您調用API的身份標識，具有較高的敏感性，需使用者妥善保管。一旦丟失，需儘快到阿里雲控制台進行修改。

如何保證網關到後端伺服器的調用安全？

您可以在API Gateway配置安全密鑰，亦可使用HTTPS對請求進行加密。

• 使用安全密鑰：

  • 您可以單獨為每個API設定密鑰，當您設定密鑰以後，網關會對請求按網關既定方法簽名（參見文檔後端簽名外掛程式）。

  • 您需要以同樣的方式對簽名進行驗證，以保證請求真實、有效。

• 使用HTTPS加密：

  • 使用HTTPS前，需確保您有相應的SSL認證。

更換後端密鑰是否需要發布API？

不需要，在控制台建立您的新密鑰，並綁定API即可。

如何不中斷服務更換後端密鑰？

如果需要不中斷升級您的密鑰，那麼首先要保證不止一台伺服器在支撐您的後端服務，然後您可以按如下步驟操作：

1. 要升級您的後端服務，相容新舊兩個key。

2. 在網關中修改您的後端密鑰。

3. 調整您的後端服務，去除對舊key的支援。

如何給指定人開放API？

API Gateway，提供存取權限控制功能，您可以在控制台，為每個API配置存取權限。