Desarrollo de un API gateway personalizado y ligero en Java para la gestión segura de acceso y enrutamiento en APIs REST
Barra lateral del artículo
Contenido principal del artículo
Resumen
Esta propuesta describe el diseño y desarrollo de un artefacto de software en Java que implemente un API Gateway personalizado para gestionar la seguridad y control de acceso en lugar de utilizar un sistema de tokens JWT. La propuesta incluye la definición de requerimientos funcionales, el diseño de software y su arquitectura, la implementación y la puesta en marcha del sistema, con el objetivo de ofrecer una solución segura y eficiente para la comunicación y control entre los clientes y un API REST. Se aplicó la metodología de Design Science Research (DSR), centrándose en el proceso de diseño e implentación del producto de software en Java que permita la integración segura entre un cliente y un API REST. La seguridad en aplicaciones web y en arquitecturas de APIs REST es fundamental para proteger la integridad, confidencialidad y disponibilidad de los sistemas en un entorno digital cada vez más expuesto a amenazas. A su vez, la metodología Scrum permite gestionar proyectos de desarrollo de software de manera ágil y colaborativa, lo cual resulta ideal para implementar soluciones de seguridad de forma iterativa y adaptativa. Luego en la fase de diseño y codificación del software en Java, se define que el API Gateway personalizado debe gestionar solicitudes entrantes y redistribuya tráfico a las APIs REST de manera segura. Para ello el API Gateway personalizado implementa características como autenticación, validación de roles de usuario y registro de solicitudes. En el API REST se crean endpoints simples que permitan la comunicación fluida con el gateway. Esta propuesta ofrece una solución robusta para la gestión de la seguridad y el control de acceso en aplicaciones distribuidas. Al utilizar el API Gateway en lugar de tokens JWT, el sistema centraliza la seguridad y la autenticación de manera eficiente, mejorando la resistencia ante fallos y manteniendo un rendimiento estable.
##plugins.themes.bootstrap3.displayStats.downloads##
Detalles del artículo
Sección
Esta obra está bajo una licencia internacional Creative Commons Atribución-NoComercial-SinDerivadas 4.0.
Los autores/as conservan los derechos de autor de sus trabajos y conceden a la revista IDEAS el derecho de primera publicación. Los artículos se publican bajo la licencia Creative Commons Atribución-NoComercial-SinDerivadas 4.0 Internacional (CC BY-NC-ND 4.0), que permite leer, descargar, copiar, distribuir y compartir el contenido con fines no comerciales, siempre que se reconozca la autoría y la publicación original en la revista, sin realizar modificaciones ni crear obras derivadas. La revista IDEAS no aplica cargos por envío, procesamiento ni publicación de manuscritos, y garantiza el acceso abierto a sus contenidos.
Cómo citar
Referencias
M. Saad, A. Zia, M. Raza, M. Kundi, and M. Haleem, “A comprehensive analysis of healthcare websites usability features, testing techniques and issues,” IEEE Access, vol. 10, pp. 97 701–97 718, 2022.
I. Ahmad, E. Suwarni, R. I. Borman, Asmawati, F. Rossi, and Y. Jusman, “Implementation of RESTful API web services architecture in takeaway application development,” in 2021 1st International Conference on Electronic and Electrical Engineering and Intelligent System (ICE3IS), Oct. 2021, pp. 132–137.
M. J. Haber, B. Chappell, and C. Hills, “Attack vectors,” in Cloud Attack Vectors: Building Effective CyberDefense Strategies to Protect Cloud Resources, M. J. Haber, B. Chappell, and C. Hills, Eds. Berkeley, CA: Apress, 2022, pp. 117–219.
J. Gough, D. Bryant, and M. Auburn, Mastering API Architecture: Design, Operate, and Evolve API-Based Systems. O’Reilly Media, Inc., 2021.
M. Tomi´c, V. Dimitrieski, M. Vjeˇstica, R. Zupunski, A. Jeremi´c, and H. Kaufmann, “Towards applying api gateway to support microservice architectures for embedded systems,” 2020.
C. K. Rudrabhatla, “Security design patterns in distributed microservice architecture,” arXiv, Aug. 2020.
E. Unsal, B. ¨ Oztekin, M. C¸ avu¸s, and S. ¨ Ozdemir, “Building a fintech ecosystem: Design and development of a ¨
fintech api gateway,” in 2020 International Symposium on Networks, Computers and Communications (ISNCC), Oct. 2020, pp. 1–5.
X. Zuo, Y. Su, Q. Wang, and Y. Xie, “An api gateway design strategy optimized for persistence and coupling,” Advances in Engineering Software, vol. 148, p. 102878, Oct. 2020.
S. K. Shivakumar, “Modern web integration patterns,” in Modern Web Performance Optimization: Methods, Tools, and Patterns to Speed Up Digital Platforms, S. K. Shivakumar, Ed. Berkeley, CA: Apress, 2020, pp. 327–357.
Eclipse Foundation, “Jakarta servlet specification,” [Online], 2025, accedido: 14 de marzo de 2025. [Online]. Available: https://jakarta.ee/specifications/servlet/6.0/jakarta-servlet-spec-6.0
B. J. Chelliah, K. Sathish, and S. A. Kumar, “Service selection in service oriented architecture using probabilistic approach and asynchronous queues with interceptor validation,” International Journal of Electrical & Computer Engineering (2088-8708), vol. 10, no. 1, 2020.
J. vom Brocke, A. Hevner, and A. Maedche, “Introduction to design science research,” in Design Science Research. Cases, J. vom Brocke, A. Hevner, and A. Maedche, Eds. Cham: Springer International Publishing, 2020, pp. 1–13.
OWASP, “Introduction - owasp top 10:2021,” [Online], 2021, accedido: 1 de noviembre de 2024. [Online]. Available: https://owasp.org/Top10/A00_2021_Introduction/
R. A. Muzaki, O. C. Briliyant, M. A. Hasditama, and H. Ritchi, “Improving security of web-based application using modsecurity and reverse proxy in web application firewall,” in 2020 International Workshop on Big Data and Information Security (IWBIS), Oct. 2020, pp. 85–90.
A. F. Nugraha, H. Kabetta, I. K. S. Buana, and R. B. Hadiprakoso, “Performance and security comparison of json web tokens (jwt) and platform agnostic security tokens (paseto) on restful apis,” in 2023 IEEE International Conference on Cryptography, Informatics, and Cybersecurity (ICoCICs), Aug. 2023, pp. 15–22.
U. Kishnani and S. Das, “Securing the web: Analysis of http security headers in popular global websites,” arXiv, Oct. 2024.
Y. Dawei, G. Yang, H. Wei, and L. Kai, “Design and achievement of security mechanism of api gateway platform based on microservice architecture,” Journal of Physics: Conference Series, vol. 1738, no. 1, p. 012046, Jan. 2021.
A. Kondam, “Event-driven api gateways: Enabling real-time communication in modern microservices architectures,” no. 2, 2024.
E. D. H. Rafael, “Implementación de sistema de biblioteca basado en scrum para el manejo de libros en la facultad de ciencias de la comunicación de la universidad nacional del centro del perú - huancayo, 2024,” Tesis de maestría, Universidad Nacional del Centro del Perú, Aug. 2024, accedido: 1 de noviembre de 2024. [Online]. Available: http://repositorio.uncp.edu.pe/handle/20.500.12894/11296
G. S. Lampe, M. Olaru, M. Mafte, and C. Ilie, “Information security management system and cyber security strategy implementation in the context of scrum,” in 7th BASIQ International Conference on New Trends in Sustainable Business and Consumption, Aug. 2021, pp. 811–819.
C. Patrício, R. Pinto, and G. Marques, “A study on software testing standard using iso/iec/ieee 29119-2: 2013,” in Recent Advances in Intelligent Systems and Smart Applications, M. Al-Emran, K. Shaalan, and A. E. Hassanien, Eds. Cham: Springer International Publishing, 2021, pp. 43–62.
F. D. Cas, “A practical approach to enhance web apis security using a stateless, open-source, pluggable api gateway,” Master’s thesis, Politecnico di Milano, Oct. 2023, accedido: 1 de noviembre de 2024. [Online]. Available: https://www.politesi.polimi.it/handle/10589/208974
X. Wang, Z. Yan, R. Zhang, and P. Zhang, “Attacks and defenses in user authentication systems: A survey,” Journal of Network and Computer Applications, vol. 188, p. 103080, Aug. 2021.
L. F. Eliyan and R. D. Pietro, “Dos and ddos attacks in software defined networks: A survey of existing solutions and research challenges,” Future Generation Computer Systems, vol. 122, pp. 149–171, Sep. 2021.
K. F. M. Córdova and L. G. S. Ortiz, “Evaluación del rendimiento de firewalls de aplicaciones web open source,” Master’s thesis, Universidad Nacional Pedro Ruiz Gallo, Mar. 2024, accedido: 1 de noviembre de 2024. [Online]. Available: http://repositorio.unprg.edu.pe/handle/20.500.12893/13572
C. Richardson, “Microservices pattern: Pattern: Api gateway / backends for frontends,” microservices.io, 2024, accedido: 1 de noviembre de 2024. [Online]. Available: http://microservices.io/patterns/apigateway.html
Q. Xiong and W. Li, “Design and implementation of microservices gateway based on spring cloud zuul,” in CIBDA 2022; 3rd International Conference on Computer Information and Big Data Applications, Mar. 2022, pp. 1–5, accedido: 24 de abril de 2025. [Online]. Available: https://ieeexplore.ieee.org/abstract/document/9899125
J. T. Zhao, S. Y. Jing, and L. Z. Jiang, “Management of api gateway based on microservice architecture,” Journal of Physics: Conference Series, vol. 1087, no. 3, p. 032032, Sep. 2018.
Apache Foundation, “Apache jmeter - apache jmeter,” [Online], 2024, accedido: 1 de noviembre de 2024. [Online]. Available: https://jmeter.apache.org/
JakartaEE, “Jakarta servlet - jakarta ee tutorial - jakarta ee documentation,” [Online], 2024, accedido: 1 de noviembre de 2024. [Online]. Available: https://jakarta.ee/learn/docs/jakartaee-tutorial/current/web/servlets/servlets.html
F. Montesi and J. Weber, “Circuit breakers, discovery, and api gateways in microservices,” arXiv, Sep. 2016.