我已经设置了一个API网关(使用HTTP协议)
在此 API 中,有多种调用独立 API 服务的路由。
其中一条路由需要发送 API 密钥。
目前 API 密钥正在从客户端发送并生成如下所示的内容:
https://xxxx.execute-api.eu-west.amazonaws.com/mystagev1/movies?api_key=xxxxxx&language=en-GB&pageNum=1®ion=GB
这已路由到服务并有效,但是,这是最佳实践吗?密钥是否可以托管在 API 网关内,因此密钥不会暴露给客户端?
不,切勿将机密、PII、PHI 或其他敏感数据添加到 URL,因为它会在基础设施内部甚至外部的许多点进行记录。 相反,您应该将其添加为标题 - 这是典型的。