实用云,提供最全最实时的云市场资讯

手机站:/m

金山云_数据库技术及应用教程_限量秒杀

时间:2021-09-08 18:15编辑:实用云来源:实用云当前位置:主页 > 云存储服务 >

在我以前的博客文章中,我已经能够利用SAP提供的不同平台和工具来连接我的Amazon Echo Dot,并向内部部署的后端SAP ABAP服务器发出简单请求更新SAPUI5应用程序显示并返回口头响应。

但是,我明确没有提及任何关于保护API端点的内容,也没有详细说明用户身份的验证。因此,让我们在这篇文章中讨论保护API端点的问题。

我通过触发来自第三方API工具的请求来测试我当前的API端点,该工具具有有效的JSON主体(就像Alexa将如何形成它),它实际到达了我的后端SAP服务器,并返回了有效的响应。这不是一件好事。

这意味着任何知道我的API端点的完整URL的人都可以从任何API/REST工具免费向我的后端SAP服务器发送或潜在地淹没请求。

我需要尽快找到保护我的API端点的方法!

虽然这并不重要,因为整个演示只是一个在开发者试用版ABAP服务器上运行的PoC,但我正在寻找一个借口来试用新发布的Cloud Foundry试用版,并获得更多SAP云平台的实践经验,所以我提出了这个要求!

我对上述问题的解决方案是:(1)向我的API端点添加一个新策略来验证应用程序密钥;(2)利用Cloud Foundry应用程序来验证请求是否确实是从Alexa发送的,并使用请求头中的应用程序密钥触发API端点来标识自己

以下是解决方案类似于

解决方案的第一部分是向API端点添加某种形式的身份验证。我选择添加一个策略来验证将在请求头中发送的静态应用程序密钥,在请求头中,只有授权的应用程序才能知道并在到ProxyEndpoint的预流期间进行验证。

要做到这一点,大数据与云计算,我必须在SAP Cloud Platform–API管理中执行以下三个简单步骤:

1。在API门户上创建一个产品并将其链接到API端点

2.通过在开发人员门户上创建一个应用程序来使用该产品,该应用程序将生成一个应用程序密钥

3。返回API门户并将一个新策略添加到API预流–ProxyEndpoint称为Verify API Key

一旦以上三个步骤完成,并且如果我尝试使用第三方API工具再次触发同一个API端点–我现在将得到如下错误。

但是,如果我在请求的头中设置'APIKey'并再次触发API端点,快云服务器,它现在将成功。

完美!我现在在我的api端点上添加了一个简单的api密钥验证,这个改变也完全打破了我现有的解决方案,因为Alexa不能再调用这个API了,因为它不能在调用过程中传递新的HTTP头"APIKey"。

这让我们进入解决方案的第二部分。

阅读Amazon Alexa的开发者文档,了解如何将自定义技能作为web服务托管,有一些安全建议,大数据的内容,特别是关于验证请求是否确实是由Alexa发送的,作为保护API端点不受潜在攻击的一种方法攻击者。参考: https://developer.amazon.com/public/solutions/alexa/alexa skills kit/docs/developing-an-alexa-skill-as-a-web-service#验证-请求是由alexa发出的

因为我个人的目标是尝试新的cloudfoundry,所以我希望部署一个简单的节点.js将作为新的API(1)验证请求是否来自Alexa,以及(2)使用标题"APIKey"将自己标识到API管理中发布的API端点。

在我考虑尝试从Amazon手动编写这些需求之前(考虑到我的技能,这是不可能的),人工智能知识体系,在npmjs上快速搜索"alexa-verifier"返回了一些有希望的结果。太完美了!有人已经考虑过这一点,并且非常友好地将其打包到一个易于使用的npm模块中。

为了设计这个解决方案的第二部分,我把一个简单的节点.js+快递.js使用两个npm模块的应用程序–alexa verifier中间件和express http代理。

此应用程序将首先调用alexa verifier中间件来验证调用是否确实来自alexa,然后使用express http代理来硬编码标头APIKey并将请求转发给在API管理上发布的API端点。

下面是我为获得节点.js+快递.js应用程序推送到SAP Cloud Foundry.

1。在我的SAP云平台试用帐户上激活Cloud Foundry试用版。

2。在我的电脑上安装Cloud Foundry的CLI

3。设置Cloud Foundry API端点

4。登录SAP Cloud Foundry

5。将我的应用程序推送到Cloud Foundry

随着应用程序在Cloud Foundry上运行,我现在可以通过我的第三方API工具运行另一个测试,并直接向Cloud Foundry应用程序发送请求。这将是一个阴性测试。

太棒了!Cloud Foundry上部署的应用程序现在验证我从第三方API工具发送的请求不是有效的请求,因为我缺少通常在实际Alexa请求中的参数。

让我们将这个新的API端点URL更新到Amazon技能工具包(ASK)中。

Ta da!

我现在为Alexa更新了一个API端点,它是部署在Cloud Foundry上的一个应用程序,通过API管理上的一个基本API密钥验证来验证和标识自己。

上一篇域名解析_电脑代理服务器_精选特惠

下一篇没有了

世界之最排行

世界之最精选