我来分享几个在WSO2生态里经过验证的解决方案，针对你的两个问题：

下面是几个可行的实现方式，你可以根据实际架构选择：

• 网关身份验证与标识校验
  每个WSO2网关实例都可以配置唯一的身份凭证，让API管理器只信任来自本地网关的请求。具体操作：

  1. 在本地网关的deployment.toml中配置网关专属的密钥和证书：

     [apim.gateway]
     key = "local-gateway-unique-key"
     certificate = "/path/to/local-gateway-cert.pem"
     

  2. 在API Publisher的API访问控制设置中，添加仅允许携带该网关标识的请求通过。这样云端API网关的请求因为没有匹配的身份凭证，会直接被拦截。

• IP白名单限制
  直接在网关层配置IP访问控制，只放行本地网关的IP地址段：
  在网关的deployment.toml里添加如下配置：

  [transport.http.access_control]
  allow_list = ["192.168.1.100", "192.168.1.0/24"] # 替换成本地网关的IP或IP段
  deny_list = []
  

  这样所有非本地网关IP的请求都会被直接拒绝。

• API部署隔离
  最简单的方式：在API Publisher部署API时，只选择本地网关作为部署目标，完全不部署到云端的WSO2 API网关。这样云端网关根本没有该API的路由规则，自然无法处理相关请求。

针对这个场景，推荐以下几个最佳实践：

• 应用与网关的绑定限制
  在WSO2 API管理器中，为消费应用配置专属的订阅规则：

  1. 为本地网关创建专属的API订阅策略，限制只有绑定该策略的应用才能调用API；
  2. 在应用的订阅设置里，指定该应用只能通过本地网关访问目标API。这样即使应用拿到了访问令牌，在其他网关上调用也会因为策略限制被拒绝。

• 令牌嵌入网关标识验证
  自定义令牌生成逻辑，在发放给应用的访问令牌中嵌入gateway_id声明，值为本地网关的唯一标识。然后在API的入流中介（Mediation）中添加验证逻辑：

  <sequence xmlns="http://ws.apache.org/ns/synapse" name="ValidateGatewayId">
      <property name="gateway_id" expression="json-eval($.gateway_id)" scope="transport"/>
      <filter source="$ctx:gateway_id" regex="local-gateway-001">
          <then/>
          <else>
              <respond>
                  <payloadFactory media-type="json">
                      <format>{"error": "Only allowed via local gateway"}</format>
                  </payloadFactory>
              </respond>
          </else>
      </filter>
  </sequence>
  

  这样只有携带正确网关标识的令牌才能通过验证。

• 强制路由到本地网关
  在API管理器的流量管理模块中，配置路由规则，将该API的所有请求强制路由到本地网关。同时关闭其他网关对该API的路由入口，确保请求只能通过本地网关到达后端服务。

• 监控与审计
  启用WSO2的API监控功能，定期查看调用日志，检查请求的来源网关标识。如果发现非本地网关的调用记录，及时调整应用权限或网关配置，避免违规访问。

内容的提问来源于stack exchange，提问作者devmr