CSRF(Cross-Site Request Forgery),即跨站點請求偽造。發起跨站點請求偽造攻擊的關鍵點在於讓目標服務器無法分辨眾多請求的來源是真實用户還是攻擊者。攻擊的一般流程為:首先攻擊者會誘導用户導航至攻擊者提供的網頁上。該網頁包含一個自動發送到目標服務器的請求。然後該網頁正常加載,這個請求就會自動發送至服務器。在服務器看來,這個請求和用户正常發送的請求一模一樣,殊不知這是由攻擊者
作者,羅澤軒。API7.ai 技術專家、Apache APISIX PMC 成員 原文鏈接 上個月馬斯克評論Twitter App 濫用 RPC 後,與一些 Twitter 的技術主管發生了矛盾 —— 直言馬斯克不懂技術。那這個馬斯克都不懂的 GraphQL 到底是什麼? 什麼是 GraphQL?它有多流行? GraphQL 是一套由 Facebook 在 2015 年發佈的一套面向 API 的
作者羅錦華,API7.ai 技術專家/技術工程師,開源項目 pgcat,lua-resty-ffi,lua-resty-inspect 的作者。 OAuth 的背景 OAuth,O 是 Open,Auth 是授權,也就是開放授權的意思。OAuth 始於 2006 年,其設計初衷正是委託授權,就是讓最終用户也就是資源擁有者,將他們在受保護資源服務器上的部分權限(例如查詢當天訂單)委託給第三方應用,使
聯合作者:羅澤軒,API7.ai 技術專家、Apache APISIX PMC 成員 聯合作者:趙士瑞,API7.ai 技術工程師,Apache APISIX Committer 身份認證是授予用户訪問系統並授予使用系統的必要權限的過程。而提供了這一功能的服務,就是身份認證服務。 在傳統的單體軟件應用程序中,所有這些都發生在同一個應用程序中。但在微服務架構中,系統由多個服務組成,在這樣
認證鑑權作為 API 網關不可或缺的能力,已然成為用户在選型 API 網關時考量的重要因素之一。 作者錢勇,API7.ai 開發工程師,Apache APISIX Committer 在當下雲原生越發成熟的環境下,API 網關最核心的功能可以概括為:連接 API 消費者和 API 提供者。 實際場景中,除去少部分允許匿名訪問的 API 外,提供者往往都會對消費者有所限制,比如只有符合條件的消費者才
背景 雲原生時代下,企業逐漸向雲上遷移,越來越多的應用和服務都在進行容器化改造,服務之間的流量也開始爆發性的增長。為了能高效地管理這些規模龐大的 API,API 網關開始在技術領域大展身手。 用户除了需要 API 網關提供請求代理、熔斷限流、審計監控等常規能力外,更多開始關注雲原生兼容性、支撐場景的多樣性,以及更好的性能及穩定性。在這樣的背景下,以 Apache APISIX 和 Kong 等為代
不出意外的話,2.15 將會是 Apache APISIX 3.0 版本發佈之前最後一個 minor 版本。從兩年前發佈第一個 2.0 版本開始,APISIX 已經發布了 15 個 minor 版本和許多個 patch 版本。作為 2.x 系列最後的一個 minor 版本,2.15 版本可以説是個承上啓下的版本。 「承上」是因為該版本繼續引入了更多的功能,使得插件配置更加靈活;「啓下」則是因
