パブリックウェブサイトと同じサーバー上のホストREST API？

Question

公開ウェブサイトと、開発中のREST APIもあります。 APIが公開されているウェブサイトとは異なるドメイン名&アカウント（多分IPでも可）上にあることに何らかの利益（セキュリティなど）がありますか？

公開： http://www.mywebsite.com

API：それは https://api.mywebsite.net、https://api.mywebsite2.com、電気ショック療法

または

https://api.mywebsite.com

を重要ですか？ APIをより安全にするために必要なその他の予防措置はありますか？

Answer 1

あなたのAPIは公開APIですか、それともプライベートであることを意味しますか？ - プライベートの場合、理想的には、ファイアウォールの背後にある必要があります。

ドメイン：いくつかの理由から、通常はサブドメインに配置する方が簡単ですが、サイトのサブ部分であると定義され、別のサーバーに移動する方が簡単です拡張、負荷バランスなどが必要です。

セキュリティに関しては、Storm Pathは原則としてREST APIを安全にすることに関して非常に良い記事を持っています。

• APIキーはユーザー名とパスワードよりも安全です。
• 一時セッションキーを使用すると、APIキーがインターセプトされる可能性が低くなります。したがって、セッションキーを作成するAPIキー+日時スタンプは、その後の呼び出しで使用されます。 Oauth2はこれらのパターンを持っています。
• TLS（SSL）は、APIの優れた措置です。