要保护在云运行和应用引擎中托管的后端API，可以采取以下解决方法：

1. 认证和授权：

   • 使用身份验证机制来验证用户身份，例如使用 API 密钥、令牌或基于角色的访问控制 (RBAC)。
   • 在 API 中实现授权规则，以确定哪些用户有权访问特定的资源或执行特定的操作。

2. API 网关：

   • 使用 API 网关作为反向代理，以集中管理和保护所有传入的 API 请求。
   • API 网关可以提供许多安全功能，如防火墙、DDoS 攻击保护、流量限制等。

3. 数据传输加密：

   • 使用安全传输协议，如 HTTPS，对传输的数据进行加密。
   • 使用 SSL/TLS 证书来确保数据在传输过程中的机密性和完整性。

4. 输入验证和过滤：

   • 对传入的 API 请求进行输入验证和过滤，以防止常见的安全漏洞，如跨站脚本攻击 (XSS)、跨站请求伪造 (CSRF) 等。

5. 访问日志和监控：

   • 记录和监控 API 的访问日志，以便及时检测和响应任何恶意活动或异常行为。
   • 使用日志分析工具来分析和报告异常或潜在的安全问题。

下面是一个使用 Node.js Express 框架的代码示例，演示如何在后端API中实现基本的身份验证和授权：

const express = require('express');
const app = express();

// 中间件：身份验证
app.use((req, res, next) => {
  const apiKey = req.headers['api-key'];
  
  if (!apiKey || apiKey !== 'YOUR_API_KEY') {
    return res.status(401).json({ error: 'Unauthorized' });
  }
  
  next();
});

// API 路由
app.get('/api/data', (req, res) => {
  // 身份验证通过，可以返回受保护的数据
  res.json({ data: 'Protected data' });
});

app.listen(3000, () => {
  console.log('Server is running on port 3000');
});

在上面的代码中，我们使用了一个中间件来进行身份验证。它检查请求头中的 API 密钥，并与预定义的密钥进行比较。如果密钥匹配，则请求被视为经过身份验证，继续执行下一个中间件或路由处理程序。否则，返回一个未经授权的错误响应。

请注意，这只是一个简单的示例，实际情况可能需要更复杂的身份验证和授权机制。