Webアプリケーション(war)は、2セットのHTTP APIを提供します。1つはインターネット上のクライアントに公開され、もう1つは内部用であり、インターネットに公開されるべきではありません。内部APIを保護するためのネットワーク展開のベストプラクティスは何ですか?
一般的な方法は、アプリケーションを2つのデプロイ可能なものに分割し、パブリックAPIを提供するフロントエンドをDMZに配置し、内部APIを提供するバックエンドを内部ネットワークに配置することです。しかし、何らかの理由で、アプリケーションを1つのデプロイ可能なものとして維持したいと思います。
ここで試すことができることがいくつかあります。プライベートAPIの場合は、ローカルのみのアドレスをリッスンする独自のアプリケーションに分割することをお勧めします。それらをまとめる必要がある場合は、内部APIを使用するために必要なある種のoauthセットアップを実装して、有効なoauthトークンを持つユーザーのみが制限されたリソースへのAPIリクエストを完了できるようにすることができます。
最後に、内部ネットワーク内のAPIを非表示にするリバースプロキシを導入します。インターネットからのクライアントはリバースプロキシにのみ接続できます。リバースプロキシは、パブリックAPIへのリクエストのみをアプリケーションに転送するように構成されています。