Private Anrufe an API

Question

Ich habe zwei Microservices registrations, die für die Registrierung neuer Benutzer verantwortlich ist, und users, die Informationen über Benutzer enthalten. Jeder von ihnen hat eine eigene Datenbank.

Wenn ein Benutzer versucht, sich zu registrieren, wird ein Anruf an users über die API, z.

GET users/verify?email=foo%40bar.com 

zu chech, wenn die E-Mail bereits einem Profil zugewiesen wurde. Obwohl ich den Access Point users/verify in den öffentlichen Dokumenten verstecken konnte, kann es immer noch zugänglich sein.

Was ist der beste Weg, um nur private IPs Anfragen an die API zu ermöglichen?

Answer 1

Sie können ein Gateway verwenden, einige Alternativen sind

• Tyk
• Kong
• Netflix/Zuul

Es gibt einen schönen Artikel unter https://thenewstack.io/api-gateways-age-microservices/

Answer 2

Halten Sie es einfach. Tun Sie es an der Firewall-Ebene

Weiße Liste der IP (n), die Sie in der Lage sein wollen, Anträge zu stellen, lehnen die übrigen