節流和配額用戶 - 令牌管理

Question

我想實現對用戶訪問我的API配額，但我不知道我心目中的流量是通過簡單的幾個API管理解決方案閱讀文檔做的方式。

1. 用戶提供憑據的應用
2. 的應用程序調用我的授權服務器進行驗證：

   目前，如下我的流程可以描述。如果成功，令牌將返回給用戶。

3. 在下面的請求，應用程序將驗證令牌（授權報頭）壓靠在授權服務器訪問服務之前。

我的問題是，我不能實現基於令牌的配額，因爲我的用戶將能夠獲得新的令牌以避免限制。根據您的經驗，是否可以在網關級別管理用戶的配額，還是應該更改我的API身份驗證方法？

此致

Answer 1

當我們談到的API和令牌通訊的最常用的模型是協議的OAuth 2.0。

通過它，用戶API必須驗證其各自的OAuth認證服務器（也可能是第三方服務器，如Facebook或谷歌）。

在掌握單詞和此令牌是壽命有限的令牌，公開的API必須驗證針對其將確定誰是正在請求的客戶端/應用程序的OAuth資源服務器此令牌。

因此，使用OAuth令牌將有可能識別請求者。

關於配額的控制，如果你不使用任何API管理/網關市場參與者（例如：apigee），你必須實現一個高性能的查詢引擎這種控制。對於更簡單的解決方案，一個關鍵值對數據庫可以解決這個問題（例如redis）。