Stai visualizzando la documentazione di Apigee Edge.
Vai alla sezione
Documentazione di Apigee X. Informazioni
Apigee Edge fornisce il framework OAuth 2.0 per le API sicure. OAuth2 è uno dei più diffusi sistemi di autenticazione basati su token e schemi di autorizzazione. Consente alle applicazioni client di accedere alle API per conto degli utenti senza richiedere agli utenti di divulgare il proprio nome utente e la propria password.
Apigee Edge consente agli sviluppatori di generare token di accesso e/o aggiornamento implementando uno qualsiasi dei i quattro tipi di autorizzazione OAuth2: credenziali client, password, implicit e codice di autorizzazione - utilizzando il criterio OAuthv2. Le applicazioni client utilizzano i token di accesso per consumare API sicure. Ogni token di accesso ha una propria scadenza che può essere impostato nel criterio OAuthv2.
I token di aggiornamento vengono emessi facoltativamente insieme ai token di accesso con alcuni dei tipi di autorizzazione. Aggiorna Vengono utilizzati per ottenere nuovi token di accesso validi dopo che il token di accesso originale è scaduto revocata. La data di scadenza dei token di aggiornamento può essere impostata anche nel criterio OAuthv2.
Antipattern
Impostare una scadenza lunga per un token di accesso e/o un token di aggiornamento nel criterio OAuthv2 porta all'accumulo di token OAuth e a un maggiore utilizzo di spazio su disco nei nodi Cassandra.
Il seguente criterio OAuthV2 di esempio mostra una scadenza lunga di 200 giorni per i token di aggiornamento:
<OAuthV2 name="GenerateAccessToken"> <Operation>GenerateAccessToken</Operation> <ExpiresIn>1800000</ExpiresIn> <!-- 30 minutes --> <RefreshTokenExpiresIn>17280000000</RefreshTokenExpiresIn> <!-- 200 days --> <SupportedGrantTypes> <GrantType>password</GrantType> </SupportedGrantTypes> <GenerateResponse enabled="true"/> </OAuthV2>
Nell'esempio riportato sopra:
- Il token di accesso è impostato con una scadenza ragionevolmente inferiore di 30 minuti.
- Il token di aggiornamento è impostato con una scadenza molto lunga, pari a 200 giorni.
- Se il traffico verso questa API è di 10 richieste al secondo, può generare fino a 864.000 token. tra un giorno.
- Poiché i token di aggiornamento scadono solo dopo 200 giorni, rimangono nel datastore (Cassandra) per un lungo periodo, con conseguente accumulo continuo.
Impatto
- Porta a un aumento significativo dell'utilizzo dello spazio su disco nel datastore (Cassandra).
- Per gli utenti del cloud privato, i costi di archiviazione potrebbero aumentare o, nel peggiore dei casi, il disco potrebbe riempirsi e provocare errori di runtime o un'interruzione del servizio.
Best practice
Utilizza una scadenza più bassa appropriata per i token di accesso e di aggiornamento OAuth in base al tuo requisiti di sicurezza, in modo da eliminarli rapidamente e quindi evitare accumuli.
Imposta la scadenza dei token di aggiornamento in modo che siano validi per un periodo un po' più lungo rispetto ai token di accesso. Ad esempio, se imposti 30 minuti per il token di accesso e poi imposti 60 minuti per token di aggiornamento.
In questo modo:
- C'è molto tempo per utilizzare un token di aggiornamento per generare nuovi token di accesso e di aggiornamento dopo il token di accesso scaduto.
- I token di aggiornamento scadranno un po' di tempo dopo e possono essere eliminati in modo tempestivo per evitare l'accumulo.