节流和配额用户 - 令牌管理

Question

我想实现对用户访问我的API配额，但我不知道我心目中的流量是通过简单的几个API管理解决方案阅读文档做的方式。

1. 用户提供凭据的应用
2. 的应用程序调用我的授权服务器进行验证：

   目前，如下我的流程可以描述。如果成功，令牌将返回给用户。

3. 在下面的请求，应用程序将验证令牌（授权报头）压靠在授权服务器访问服务之前。

我的问题是，我不能实现基于令牌的配额，因为我的用户将能够获得新的令牌以避免限制。根据您的经验，是否可以在网关级别管理用户的配额，还是应该更改我的API身份验证方法？

此致

Answer 1

当我们谈到的API和令牌通讯的最常用的模型是协议的OAuth 2.0。

通过它，用户API必须验证其各自的OAuth认证服务器（也可能是第三方服务器，如Facebook或谷歌）。

在掌握单词和此令牌是寿命有限的令牌，公开的API必须验证针对其将确定谁是正在请求的客户端/应用程序的OAuth资源服务器此令牌。

因此，使用OAuth令牌将有可能识别请求者。

关于配额的控制，如果你不使用任何API管理/网关市场参与者（例如：apigee），你必须实现一个高性能的查询引擎这种控制。对于更简单的解决方案，一个关键值对数据库可以解决这个问题（例如redis）。