API网关的安全过滤规则是为了保护API免受非法访问和潜在攻击，主要涉及以下几个方面的安全过滤策略：

1. 身份验证（Authentication）：

   • API密钥验证：检查每个请求是否包含了有效的API密钥或令牌，确保只有授权的用户或应用才能访问API。
   • JWT验证：若使用JWT（JSON Web Token），需验证其有效性，包括签名验证、过期时间检查和受众验证等。
   • OAuth 2.0或OpenID Connect：对于需要用户授权的API，验证访问令牌是否合法且拥有足够的权限。

2. 授权（Authorization）：

   • RBAC（基于角色的访问控制）：检查请求者的角色是否具备访问特定API的权限。
   • ABAC（基于属性的访问控制）：根据请求者属性（如用户ID、设备ID等）决定是否允许访问。

3. 请求参数验证：

   • 输入验证：确保请求参数的格式、大小、值域等符合预期，避免SQL注入、跨站脚本攻击（XSS）和其他注入攻击。
   • 参数白名单/黑名单：仅允许特定参数名和值范围的请求通过，过滤掉非法或未知参数。

4. 速率限制（Rate Limiting）：

   • 为防止DDoS攻击或滥用资源，设置每用户、每应用或每IP地址的请求频率上限。

5. 内容安全策略（CSP）：

   • 如果适用，实施内容安全策略以防止加载恶意内容。

6. IP黑白名单：

   • 仅允许来自已知可信IP地址的请求，或禁止来自恶意IP地址的请求。

7. HTTP方法限制：

   • 只允许特定的HTTP方法（如GET、POST、PUT、DELETE等）对特定API资源进行操作。

8. URL路径过滤：

   • 根据API的路径进行过滤，只允许访问已定义的、安全的API端点。

9. Web应用防火墙（WAF）集成：

   • 使用WAF规则库检查请求内容，防范OWASP Top 10等常见Web应用攻击。

10. 全链路签名验证：

    • 对请求内容进行签名验证，确保消息在传输过程中未被篡改。

11. 反爬虫策略：

    • 设置反爬虫规则，阻拦不符合正常用户行为的高频抓取请求。

12. SSL/TLS加密：

    • 强制所有API请求通过HTTPS加密连接，保护数据在传输过程中的安全。

通过这些过滤规则的组合运用，API网关能够在请求到达后端服务之前对其进行严格的安全筛查，大大增强了整个API基础设施的安全性。