API在CloudflareToday上我们宣布了API令牌的全面可用性，这是一种可扩展且更安全的与Cloudflare API交互的方式。作为打造更好的互联网的一部分，Cloudflare努力简化客户在边缘的可管理性。我们做到这一点的一部分是确保我们所有的产品和服务都可以通过API配置。从合作伙伴到企业再到开发人员，客户都希望自动化Cloudflare的管理。有时这是通过我们的API直接完成的，而其他时候则是通过我们帮助维护的开源软件来完成的，比如我们的Terraform提供商或Cloudflare Go库。实现Cloudflare自动化管理的客户必须确保其Cloudflare服务的安全性可能。最少特权及其重要性保护软件系统是很难的。限制一个软件可以做什么是一个很好的防御措施，以防止错误或恶意行为产生比它们更大的影响。最小特权原则有助于指导给定系统执行操作的访问权限。最初由Jerome Saltzer制定，"系统中的每个程序和每个特权用户都应该使用完成任务所需的最少特权量进行操作。"在Cloudflare的情况下，许多客户使用不同的域路由流量，利用许多不同的服务。如果一个坏的参与者获得了对系统的未经授权的访问，他们可以使用该系统的任何访问权限来造成进一步的损害或窃取额外的信息。让我们看看API令牌的功能如何符合最小原则特权。关于API令牌API令牌提供三个主要的cap能力：作用域APICloudflare提供的令牌资源按权限查找API令牌提供多个API令牌的能力能力。范围界定Cloudflare提供的API令牌ResourceCloudflare按区域（通常相当于一个域）分隔服务配置。此外，有些客户有多个帐户，每个帐户都有多个分区。当授予API对服务的访问权限时，它只能访问与当前作业相关的帐户、资源和区域，这一点很重要。API令牌的作用域可以限定为仅覆盖特定帐户和特定区域。一个常见的用例是，如果您有一个临时区域和一个生产区域，那么API令牌可以被限制为只能影响临时区域而不能访问生产区域区域范围界定API令牌允许将API令牌限定到特定区域是很好的，但在一个区域中，可以配置许多不同的服务：防火墙规则、页面规则和负载平衡器。如果客户的服务应该只能创建新的防火墙规则以响应流量模式，那么允许该服务更改DNS记录是对最低权限的侵犯。API令牌允许您将每个令牌的范围限定为特定的权限。可以组合多个权限来创建自定义令牌以适合特定用途案例。多个API令牌如果您使用Cloudflare来保护和加速多个服务，那么可能会从多个位置（不同的服务器、虚拟机、容器或工作者）对Cloudflare进行API更改。能够为每个服务创建一个API令牌意味着每个服务都与来自另一个服务的更改隔离。如果一个API令牌被泄露或需要滚动，则不会对其他服务的API令牌造成任何影响。另外，前面提到的功能意味着每个服务的作用域都可以精确地限定为所需的操作和资源。这使得客户可以通过API。现在让我们来看看如何创建API令牌并使用它。使用API令牌要创建第一个API令牌，请转到用户配置文件的"API令牌"部分，可在此处找到：dash.cloudflare.com/profile/api-代币1。在这个页面上，除了您的全局API密钥和源CA之外，您还可以找到所有API令牌的列表密钥.API令牌入门-创建令牌要创建第一个API令牌，请选择"创建令牌"。2。在create屏幕上有两种创建令牌的方法。您可以通过"自定义"选项从头开始创建，也可以通过选择"从模板开始"来从预定义模板开始创建。API令牌模板选择对于这种情况，我们将使用"编辑区域DNS"模板创建可以编辑单个区域的DNS记录的API令牌。3。一旦选择了模板，我们就需要为API令牌选择一个区域来限定其作用域。请注意，DNS编辑权限已经在-选定。指定令牌可以控制其dn的区域在这种情况下，'garrettgalow.com网站'被选择为API令牌将能够编辑其DNS记录的Cloudflare区域。4。一旦我选择了继续汇总，我就有机会回顾我的选择。在本例中，资源和权限非常简单，但这会给您一个更改，以确保在创建之前为API令牌提供了正确的特权量它。象征总结-确认5。一旦创建，我们将看到API令牌。这个屏幕是唯一一次你会看到的秘密，所以一定要把秘密放在一个安全的地方！任何拥有此机密的人都可以对指定的资源执行授权的操作，因此要像密码一样保护它。在下面的截图中，我把这个秘密黑框了，原因很明显。如果您碰巧丢失了机密，您可以始终从API Tokens表重新生成它，这样就不必配置所有权限又一次。象征creation completion screen with the token securin addition the secret this screen提供了一个示例curl请求，可用于验证令牌是否已成功创建。它还提供了一个如何将令牌用于任何直接HTTP请求的示例。对于API令牌，我们现在遵循RFC授权承载标准。调用API时，我们会看到一个成功的响应，告诉我们令牌是有效的和活动的~$curl-X GET"https://api.cloudflare.com/client/v4/user/tokens/verify" \>-H"授权：持票人VH9AWGUPXXXXXXXXXXXXXXXX"\>-H"含量-类型：application/json"| jq{"结果"：{"id"："ad599f2b67cdccf24a160f5dcd7bc57b"，"status"："活动"},"成功"：没错，"错误"：[]，"消息"：[{"代码"：10000，"message"："此API令牌有效且处于活动状态"，"类型"：空}]}下一步对于任何使用Cloudflare API的人，我们建议今后使用API令牌而不是其前代API密钥。通过这次发布，我们的Terraform提供程序、Cloudflare Go library和WordPress插件都进行了更新，以实现API令牌兼容性。其他库将很快收到更新。目前将同时支持API令牌和API密钥，以便客户能够安全地迁移。我们有更多API令牌的计划功能，以进一步保护令牌的使用方式和时间，因此请关注未来的公告！让我们知道您对Cloudflare社区的API安全性有什么想法和下一步想看到什么。