问如何在网站和移动应用程序中保护API网关？

EN

由于需要公开公开网站和API，我建议它通过AWS CloudFront从相同的来源公开web应用程序和API (如果将/API存储在S3中，则可以将/API映射到API和S3的其他路径)。

在安全性方面，您正在获得的优势是您可以将AWS WAF配置为AWS Cloudfront，在这里您可以防止几种常见的威胁。

注意:当您将API集成到CloudFront中时，请确保使用来自CloudFront的API密钥(在源标头中使用API密钥)来访问API，防止从外部直接访问API。

单独设置交叉起源是好的，但还不够。

您可以使用AWS签名V4保护您的API端点。签名版本4是向HTTP发送的AWS请求添加身份验证信息的过程。简而言之，它用于验证发送到API的请求。

您可以使用yaml或通过控制台设置AWS签名V4。在前端，在网站上，您可以使用AWS放大器库来签署请求.查看这篇文章关于如何使用AWS签名V4在前端使用AWS放大器对您的API请求进行签名。

除了AWS签名V4之外，还可以设置自定义授权程序来验证请求。请查看这篇文章的IAM权限和客户授权器部分，了解如何为您的API配置AWS_IAM或Lambda授权器。