offiziellen30 авг 2025 в 00:00

Безопасность API (аутентификация и авторизация): проблемы, решения, практические рекомендации

Средний

9 мин

8.7K

Анализ и проектирование систем * Высоконагруженные системы * Программирование * Серверная оптимизация * Микросервисы *

+10

Комментарии 3

PelmenBlin 30 авг 2025 в 00:10

Отнести nginx к "еще один компонент в инфраструктуру" для меня несколько странно. Разве это не musthave (ну или там другой прокси) для api?

3263927 30 авг 2025 в 13:33

не всегда, иногда можно сделать API на своём сервере вместе с проектом, если например не предполагается большая нагрузка. у меня есть проект где всего один API клиент, у него личный кабинет для генерации ключа bearer и доступ по https - зачем усложнять инфраструктуру?

sanzhi 30 авг 2025 в 15:49

А как это соотносится? Как будто противоречие.

Только шлюз проверяет токены. Сервисы за ним доверяют шлюзу и получают информацию о пользователе в готовом виде (например, в заголовке X-User-ID)

Теперь мы считаем, что "внутренней" сети не существует. Каждый сервис — это отдельный остров. Любой запрос, даже от соседа по дата-центру, должен доказать, кто он такой и что ему можно. Девиз простой: "Не доверяй никому, проверяй всех"

Зарегистрируйтесь на Хабре, чтобы оставить комментарий