Ho visto una tendenza delle applicazioni che spostano le proprie API in altri domini (da api.application.com a api.applicationapi.com).
Due esempi: 3.basecampapi.com e api.dropboxapi.com
C'è un vantaggio per la sicurezza di ospitare l'API in un dominio diverso rispetto alla dashboard o al sito web di marketing? Perché un sottodominio non è sufficiente?
Is there a security benefit to host the API in a different domain than the dashboard or marketing website?
In una parola, resilienza .
Un vantaggio è che qualsiasi blocco di sicurezza che viene implementato a causa del contenuto della dashboard o del sito web di marketing non avrà alcun impatto sull'API, se l'API si trova su un dominio completamente diverso.
(Se "marketing" significa Wordpress o Drupal, ad esempio, tali blocchi possono essere una minaccia molto reale!)
Ho avuto esperienza diretta con blocchi attivati dalla Blacklist di Google , e possono influire sul domain name e loro sottodomini. Se example.com finisce con malware, allora anche api.example.com (e api.api.example.com) verranno bloccati.
Il passaggio a api.exampleapi.com separa in modo pulito l'API in modo che non subisca alcun impatto se example.com è nella lista nera.
Why does a subdomain is not enough?
Ancora una volta, con Google almeno, i blocchi possono estendersi anche nei sottodomini. Inoltre, i filtri basati su DNS come i caratteri jolly OpenDNS bloccheranno anche tutti i sottodomini.
Leggi altre domande sui tag api web-application dns-domain