2025年阿里云api题库及答案

2025年阿里云api题库及答案一、单项选择题（每题2分，共20分）1.阿里云API网关中，以下哪种鉴权方式支持通过OIDC协议实现第三方身份认证？A.APP鉴权B.AK鉴权C.OIDC鉴权D.无鉴权答案：C解析：OIDC鉴权支持通过OpenIDConnect协议对接第三方身份提供商（如阿里云IDaaS、AzureAD），实现跨系统的身份验证；APP鉴权基于应用级密钥对，AK鉴权使用阿里云访问密钥，无鉴权则不验证身份。2.配置API网关限流策略时，若需限制单个用户（通过APPKey标识）每分钟最多调用100次，应选择的限流维度是？A.全局维度B.用户维度（APP）C.IP维度D.API维度答案：B解析：用户维度限流基于APPKey标识不同用户，可针对单个APP设置调用频率限制；IP维度按客户端IP限流，API维度限制某个API的总调用量，全局维度限制网关所有API的总调用量。3.阿里云API网关与函数计算（FC）集成时，以下哪项不是必填配置？A.服务名称B.函数名称C.触发方式D.超时时间答案：C解析：API网关调用函数计算时，需指定服务名称、函数名称和超时时间（默认30秒）；触发方式（如HTTP触发、事件触发）由函数计算自身配置决定，API网关集成时无需额外设置。4.若需在API网关中屏蔽特定UA（User-Agent）的请求，应使用以下哪种插件？A.限流插件B.访问控制插件C.内容转换插件D.安全防护插件答案：B解析：访问控制插件支持基于UA、Referer、IP等维度的请求过滤；限流插件用于控制调用频率，内容转换插件处理请求/响应格式，安全防护插件主要防御SQL注入、XSS等攻击。5.API网关自定义域名配置中，HTTPS协议必须完成的操作是？A.绑定API分组B.上传SSL证书C.配置CNAME解析D.设置请求超时答案：B解析：HTTPS协议需要SSL证书完成加密通信，是必填步骤；CNAME解析是将自定义域名指向API网关提供的域名，绑定API分组指定域名关联的API集合，请求超时为可选配置。6.阿里云API网关的“阶段”功能主要用于？A.区分不同环境（如测试、预发布、生产）的API配置B.管理API的版本迭代C.限制API的调用区域D.配置API的后端服务地址答案：A解析：阶段（Stage）用于隔离不同环境的配置（如测试阶段使用测试后端，生产阶段使用生产后端）；版本管理用于API迭代的历史记录，区域限制通过地域选择实现，后端地址在API定义中配置。7.API网关调用统计中，“QPS”指标表示？A.每秒查询次数B.每分钟调用次数C.每日错误率D.响应时间平均值答案：A解析：QPS（QueriesPerSecond）指每秒处理的请求数，是衡量API网关处理能力的核心指标之一。8.以下哪项不属于API网关的安全防护功能？A.DDoS防护B.WAF（Web应用防火墙）集成C.敏感信息脱敏D.跨域资源共享（CORS）配置答案：D解析：CORS用于解决前端跨域访问问题，属于API网关的访问控制功能；DDoS防护、WAF集成、敏感信息脱敏（如请求中手机号打码）均为安全防护范畴。9.API网关计费模式中，“按流量”计费的单位是？A.每GBB.每万次调用C.每并发连接D.每小时实例数答案：A解析：API网关按流量计费时，费用基于出网流量（从网关到客户端）的总量，单位为GB；按调用次数计费单位为万次，按峰值并发为每并发连接，实例数为专有版网关的付费模式。10.配置API网关后端服务时，若后端为gRPC服务，需指定的协议类型是？A.HTTP/1.1B.HTTP/2C.gRPCD.WebSocket答案：C解析：API网关支持将HTTP/HTTPS请求转换为gRPC协议调用后端服务，需在后端配置中选择“gRPC”协议类型。二、判断题（每题2分，共20分）1.API网关的“IP白名单”配置仅支持单个IP地址，不支持IP段（如/24）。（）答案：×解析：API网关支持IP段配置，格式为“起始IP-结束IP”或CIDR（如/24）。2.使用AK鉴权时，请求头中需携带“x-acs-signature”签名信息。（）答案：√解析：AK鉴权通过计算请求签名（x-acs-signature）验证请求合法性，签名算法基于请求参数、时间戳等提供。3.API网关的“后端超时时间”是指从客户端发起请求到网关返回响应的总时间。（）答案：×解析：后端超时时间指网关向后端服务发送请求后等待响应的最长时间，不包含客户端到网关的网络延迟。4.自定义响应头支持设置“Access-Control-Allow-Origin:”以允许所有源跨域访问。（）答案：√解析：通过自定义响应头可配置CORS相关字段，实现跨域访问控制。5.API网关的“插件”仅支持阿里云官方提供的类型，不支持用户自定义开发。（）答案：×解析：2025年API网关支持用户通过插件市场上传自定义插件（需符合开发规范），扩展网关功能。6.函数计算（FC）作为后端时，API网关会自动传递所有请求头到FC函数。（）答案：×解析：默认仅传递部分标准头（如Host、User-Agent），自定义请求头需在API网关配置中显式“映射”到FC的上下文或参数中。7.API网关的“版本”功能支持回滚到任意历史版本，无需重新发布。（）答案：×解析：版本回滚需将目标版本重新发布到指定阶段，发布后生效。8.日志服务（SLS）集成时，API网关会自动创建日志项目和日志库，无需手动配置。（）答案：×解析：需先在SLS中创建日志项目和日志库，再在API网关中关联其ARN（资源标识符）。9.专有版API网关支持部署在用户专有网络（VPC）内，与公共云网关隔离。（）答案：√解析：专有版网关提供独立实例，支持VPC内部署，满足数据本地化和高安全需求。10.API网关的“Mock响应”功能仅适用于测试阶段，生产环境无法启用。（）答案：×解析：Mock响应可在任意阶段启用，用于快速验证前端逻辑或后端未就绪时的临时响应。三、简答题（每题8分，共40分）1.简述API网关中“APP鉴权”的配置流程。答案：（1）在API网关控制台创建APP，提供AppKey和AppSecret；（2）在API定义中选择鉴权类型为“APP鉴权”；（3）关联允许调用该API的APP（可多选）；（4）客户端请求时，在请求头中携带AppKey，并使用AppSecret对请求参数进行签名（提供SignHeader）；（5）API网关验证签名和AppKey有效性，通过则放行请求。2.如何通过API网关实现“请求体大小限制”？请列出关键步骤。答案：（1）进入目标API的“请求参数”配置页；（2）在“请求体”部分勾选“启用请求体大小限制”；（3）设置最大允许的请求体大小（单位：KB，范围1-10240）；（4）配置超限后的响应（可选：返回自定义错误码和提示信息）；（5）发布API到目标阶段生效。3.说明API网关与WAF（Web应用防火墙）集成的两种方式及适用场景。答案：（1）网关内置WAF：通过API网关控制台直接启用WAF插件，配置规则（如SQL注入、XSS防护），适用于轻量级防护需求；（2）独立WAF实例关联：将API网关的域名接入阿里云WAF控制台，配置高级防护策略（如CC攻击防护、自定义规则），适用于高安全级别或需要深度定制的场景。4.当API调用返回“504GatewayTimeout”错误时，可能的原因及排查步骤是什么？答案：可能原因：后端服务响应超时（超过API网关配置的后端超时时间）、后端服务不可达（网络问题或服务宕机）。排查步骤：（1）检查API网关“后端配置”中的“后端超时时间”，确认是否短于后端实际处理时间；（2）登录后端服务器查看日志，确认请求是否到达及处理耗时；（3）使用telnet或curl测试后端服务地址和端口是否可连通；（4）若后端为函数计算（FC），检查FC函数是否超时（FC默认最大执行时间为15分钟）或触发并发限制。5.描述API网关“灰度发布”的实现原理及典型应用场景。答案：实现原理：通过设置流量分配比例，将部分请求路由到新版本API，剩余请求路由到旧版本；支持按APP、IP、自定义Header等维度精准分流。典型场景：（1）新版本功能测试：逐步放量验证稳定性和正确性；（2）AB测试：对比不同版本的性能或用户行为数据；（3）平滑升级：减少全量发布带来的业务中断风险。四、综合题（每题10分，共20分）1.某电商平台计划上线“秒杀活动”API，需通过阿里云API网关实现高并发防护。请设计防护方案，包含限流、防刷、后端保护三个维度的具体措施。答案：（1）限流维度：用户维度：单个APP（用户）每秒最多10次调用（防止单个用户频繁请求）；IP维度：单个IP每分钟最多100次调用（防止同一IP伪造多用户请求）；API维度：整个秒杀API每秒最多5万次调用（匹配后端最大处理能力）。（2）防刷措施：启用验证码插件：对高频请求触发验证码校验（如每分钟调用超过20次需输入验证码）；启用WAF的CC攻击防护：识别短时间内同一IP的异常请求，自动拦截；自定义参数校验：要求请求携带时间戳（timestamp）和签名（sign），验证时间戳与当前时间差不超过30秒（防止重放攻击）。（3）后端保护：设置后端超时时间为2秒（避免后端处理过慢拖垮网关）；配置降级规则：当后端错误率超过50%时，返回“活动太火爆，请稍后再试”的Mock响应；集成消息队列（如RocketMQ）：将高并发请求异步化，网关接收请求后发送到队列，由后端服务按需消费。2.某企业通过API网关对外提供数据查询服务，近期发现部分用户调用量异常增长，且存在非业务时间（如凌晨）的高频调用。请结合API网关功能设计排查与解决方案。答案：（1）排查步骤：查看API网关“调用统计”中的时间分布图表，确认异常调用的时间范围和IP来源；进入“日志服务（SLS）”查询详细请求日志，提取异常请求的AppKey、User-Agent、请求参数；关联用户系统数据库，核对异常AppKey对应的用户身份及业务场景（是否为合法用户）；使用“流量镜像”功能将异常请求复制到测试环境重放，验证是否为恶意请求（如参数遍历、暴力