As APIs lidam com praticamente todas as funções das organizações modernas, seja a reserva de um ingresso de cinema ou um processamento de transações bancárias complexas. As organizações expõem seus serviços por meio de APIs ao público e internamente. Como resultado, as APIs estão sendo usadas por várias partes e por pessoas, sejam elas usuários externos ou internos. Por isso, é muito importante que apenas usuários autorizados possam usar APIs específicas e não haja uso indevido de APIs que consomem dados e serviços valiosos de uma organização.

A API WSO2 Microgateway é um produto leve, rápido, nativo da nuvem, focado no desenvolvedor e 100 % código aberto, que permite expor microsserviços como APIs gerenciadas. Ele também fornece uma camada de segurança forte e fácil de usar, que ajuda o usuário a configurar e aplicar facilmente mecanismos de autenticação/autorização, adequados para proteger suas APIs. O WSO2 Microgateway fornece vários recursos para proteger API’s, como:

•  Emissor de chave de API e autenticação de chave;

• Autenticação e suporte JWT para vários emissores JWT;

• Autenticação SSL mútua para APIs;

• Suporte a vários esquemas de segurança para APIs;

• Suporte combinando esquemas de autenticação;

• Suporte interno/externo ao gerenciador de chaves.

 Como exemplo de utilização, pode-se citar o suporte interno e externo ao gerenciador de chaves. No suporte interno, o WSO2 API Manager pode ser configurado como um gerenciador de chaves interno com o WSO2 API Microgateway. Nesta configuração o WSO2 Microgateway chama o serviço de validação de chave de API do WSO API Manager, permitindo que a API do WSO2 Microgateway use tokens opacos com a validação da assinatura, conforme imagem abaixo:                   

Figura 1: Microgateway da API do WSO2 com o gerenciador de API do WSO2 como gerenciador de chaves interno.

No suporte externo, o WSO2 Microgateway usa o ponto de extremidade de introspecção de token do gerenciador de chaves de terceiros para validar o token de acesso, conforme imagem abaixo:

Figura 2: Microgateway da API WSO2 com um gerenciador de chaves externo de terceiros.

Portanto, existem vários métodos para proteger APIs e o WSO2 Microgateway se torna uma solução interessante, pois expõe microsserviços como APIs gerenciadas, suporta uma vasta gama de recursos de segurança, que podem ser facilmente configurados para atender aos requisitos de segurança das API’s de uma organização.

Referência bibliográfica: https://wso2.com/library/articles/securing-apis-with-wso2-api-microgateway/