進階 API 安全性最佳做法

本頁內容適用於 ApigeeApigee Hybrid

查看 Apigee Edge 說明文件。

本頁面說明使用進階 API 安全性的最佳做法。

設定用戶端 IP 解析度

如果預設的用戶端 IP 解析演算法不適用於您的用途,可以針對每個環境進行自訂。請參閱用戶端 IP 位址解析。 設定這項設定後,Advanced API Security 就能為每項 API 要求找出並使用適當的用戶端 IP 位址,確保環境中的用戶端 IP 位址解析作業一致。

如要使用用戶端 IP 位址解析功能,您也需要保留 X-Forwarded-For 要求標頭

保留 X-Forwarded-For 要求標頭

X-Forwarded-For (XFF) 要求標頭是標準標頭,用於識別透過 Proxy 伺服器連線至網路伺服器的用戶端來源 IP 位址。許多平台都提供從傳入要求中移除 XFF 標頭的功能,以確保安全性。不過,如果您使用進階 API 安全防護,就不建議這麼做,因為這項功能使用的機器學習演算法需要 IP 位址資訊,才能識別濫用流量及計算安全分數。

如何判斷平台是否會移除 XFF 標頭

如要判斷平台是否會移除 XFF 標頭,請發出類似下列的 API 呼叫:

curl https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/stats/x_forwarded_for_ip?select=avg\(total_response_time\)&timeRange=9/24/2018%2000:00~10/25/2018%2000:00&timeUnit=day \
 -H "Authorization: Bearer $TOKEN"

其中 ORG 是您的機構,而 ENV 是機構中的環境。

如果平台會移除 XFF 標頭,這會傳回回應,其中第一行會是

 "name": "(not set)",

回應中的 (not set) 表示平台正在移除 XFF 標頭。