第5章 访问控制策略

API 访问控制策略对于保护数据和确保系统安全至关重要。通过适当的身份验证、限制访问及密钥管理等方法,可以实现有效的 API 访问控制。防止未经授权的个人或系统对数据进行修改、删除或盗取。

访问控制策略是与API组分开设置的,您需要将访问控制策略与API组进行绑定,才能使该策略对该API组有效。

5.1 新建策略

认证类型

  • 不鉴权(公开): 接口组中的所有接口将不再验证访问者身份(任何人可访问), 多用于初期测试,请务必注意数据安全。 不鉴权(公开)策略

  • API key: API Key 会创建一个秘钥,接口访问时携带此秘钥即可。将此秘钥分享给第三方,可实现快速对接。 API key策略

  • IP鉴权: 允许某些IP地址访问,可用于有固定IP的用户/应用服务,如公网上部署的应用服务。 IP鉴权策略

  • 平台用户: 平台用户可通过平台账户直接调用接口,一个用户只能创建一个策略。适用于已在平台注册的用户。

5.2 绑定API组

一个访问控制策略可以绑定多个API组,若同一个API组被绑定到多个访问策略,则按照认证类型的优先级 不鉴权(公开) > IP鉴权 > 平台用户 > API key 依次验证访问权限,直至拥有访问权限。

这里绑定刚设计的API组 绑定API组

← 第4章 设计API
第6章 测试API →