API网关的安全角色
API网关作为所有API流量的统一入口,是实施安全策略的最佳位置。认证鉴权、限流熔断、日志审计、WAF防护都可以在网关层统一处理,避免每个微服务重复实现。
Kong Gateway
安全插件生态
- 认证插件:Key Auth、JWT、OAuth 2.0、LDAP、mTLS
- 限流插件:Rate Limiting(支持Redis存储分布式限流)
- 安全插件:Bot Detection、IP Restriction、CORS
- 日志插件:HTTP Log、TCP Log、Syslog、Datadog
配置示例
Kong使用声明式配置(YAML)或Admin API动态管理。推荐使用decK工具实现配置版本化管理。安全相关配置建议纳入GitOps流程,变更需经Code Review。
Nginx + OpenResty
通过Lua脚本实现高度自定义的安全逻辑。性能最高(C语言实现),但开发维护成本高。适合对性能极致要求且有Lua开发能力的团队。安全功能需要自行开发或使用社区模块。
AWS API Gateway
全托管服务,与AWS WAF、Cognito、Lambda深度集成。支持请求验证(JSON Schema)、使用计划(Usage Plans)、API密钥管理。缺点:vendor lock-in、冷启动延迟、成本较高。
安全配置清单
- TLS 1.3 only + 强密码套件
- 请求大小限制(默认1MB)
- 超时配置(连接5s、读取30s)
- 敏感Header过滤(Server、X-Powered-By)
- CORS严格配置(白名单域名而非通配符)
- 访问日志全量记录(含请求体摘要)