¿Cuáles son las mejores prácticas para proteger las API REST públicas en Google App Engine y / o Kubernetes Engine contra abusos? Tengo la intención de desarrollar API que se invocarán desde una aplicación de Android o una aplicación React Front End.

No me importa la autorización a través de oauth2 / google, etc. Me pregunto cómo otros están haciendo esto ... Idealmente, me gustaría que alguna parte de mi sitio web pudiera ser explorada por usuarios no registrados / anónimos y no me gustaría imponer el inicio de sesión de Google. en o registro en el primer paso.

Estoy comenzando con algo que es más o menos un pequeño proyecto de hobby por ahora. No querría incurrir en enormes costos debido al abuso de las API públicas.

Investigué un poco, pero no pude llegar a una conclusión sobre el camino a seguir. Cualquier sugerencia será muy apreciada.

0
Denounce'IN 26 sep. 2019 a las 05:39

1 respuesta

La mejor respuesta

Para limitar el acceso, el abuso, los límites de velocidad, las cuotas, el software proxy es la solución. Apigee es caro y muy potente.

Existe una solución de código abierto: ESP Endpoint. Puedes implementarlo en AppEngine o en Cloud Run y ​​gracias a la configuración puedes proteger alguna parte de tu aplicación, hacer redirecciones / reescribir, establecer límites y cuotas, ... creo que esto es para ti.

1
guillaume blaquiere 26 sep. 2019 a las 08:32