问如何保护打开的API端点？

EN

好吧，你需要认证

为了验证谁在调用您的API，您需要对它们进行身份验证。这并不意味着您必须对用户进行身份验证。应用程序还可以对其身份进行身份验证并向其他应用程序显示它们的身份。这才是你需要的。您可以通过几种不同的方式实现这种应用程序到应用程序的身份验证：

1. 基本认证。您可以在应用程序中保存一个ID和一个秘密，并使用它们发送Authentication头。
2. 使用OAuth的客户凭证流。这是一个OAuth流，专门为应用程序创建，以便将自己识别给其他应用程序。
3. 使用相互TLS。您可以告诉API您的应用程序将使用什么证书，并且只接受与该证书的连接。
4. 认同JWT断言。在这种方法中，应用程序使用其ID对JWT进行签名，并且API能够验证JWT的签名。