Bạn đang xem tài liệu về Apigee Edge.
Chuyển đến
Tài liệu về Apigee X. thông tin
Các phần sau giới thiệu cho bạn về các sản phẩm API và khái niệm chính có liên quan.
Sản phẩm API là gì?
Trong vai trò nhà cung cấp API, bạn tạo các sản phẩm API để gói và cung cấp các API đó cho nhà phát triển ứng dụng để tiêu thụ. Bạn có thể coi các sản phẩm API là dòng sản phẩm của mình.
Cụ thể, một sản phẩm API sẽ nhóm những nội dung sau đây lại với nhau:
- Tập hợp tài nguyên API (URI)
- Gói dịch vụ
- Siêu dữ liệu dành riêng cho doanh nghiệp của bạn để theo dõi hoặc phân tích (không bắt buộc)
Các tài nguyên API được đóng gói trong một sản phẩm API có thể đến từ một hoặc nhiều API, do đó, bạn có thể kết hợp và so khớp để tạo các bộ tính năng chuyên biệt, như được minh hoạ trong hình sau.
Bạn có thể tạo nhiều sản phẩm API để xử lý các trường hợp sử dụng giải quyết những nhu cầu cụ thể. Ví dụ: bạn có thể tạo một sản phẩm API nhóm một số tài nguyên ánh xạ để cho phép các nhà phát triển dễ dàng tích hợp bản đồ vào các ứng dụng của họ. Ngoài ra, bạn có thể thiết lập các thuộc tính khác nhau cho từng sản phẩm API, chẳng hạn như các mức giá khác nhau cấp độ. Ví dụ: bạn có thể cung cấp các tổ hợp sản phẩm API sau đây:
- Sản phẩm API đưa ra giới hạn truy cập thấp, chẳng hạn như 1.000 yêu cầu mỗi ngày, với mức giá ưu đãi. Sản phẩm API thứ hai cung cấp quyền truy cập vào cùng các tài nguyên, nhưng có giới hạn truy cập cao hơn và giá cao hơn.
- Một sản phẩm API miễn phí cung cấp quyền truy cập chỉ đọc vào các tài nguyên. Sản phẩm API thứ hai cung cấp quyền đọc/ghi vào cùng các tài nguyên với một khoản phí nhỏ.
Ngoài ra, bạn có thể kiểm soát quyền truy cập vào các tài nguyên API trong sản phẩm API. Ví dụ: bạn có thể nhóm mà chỉ nhà phát triển nội bộ hoặc khách hàng trả tiền mới có thể truy cập.
Các sản phẩm API là cơ chế trung tâm để cấp phép và kiểm soát quyền truy cập vào API của bạn. Trong Apigee, khoá API được cấp phép cho các sản phẩm API chứ không phải cho chính API. Nói cách khác, API khoá được cung cấp cho các gói tài nguyên có gói dịch vụ đính kèm.
Nhà phát triển ứng dụng truy cập vào các sản phẩm API của bạn bằng cách đăng ký ứng dụng của họ, như mô tả trong phần Đăng ký ứng dụng. Khi một ứng dụng cố gắng truy cập vào một sản phẩm API, quá trình uỷ quyền sẽ được Apigee thực thi trong thời gian chạy để đảm bảo rằng:
- Ứng dụng yêu cầu được phép truy cập vào một tài nguyên API cụ thể.
- Ứng dụng yêu cầu chưa vượt quá hạn mức cho phép.
- Nếu được xác định, phạm vi OAuth được xác định trong sản phẩm API sẽ khớp với các phạm vi liên kết với quyền truy cập đó mã thông báo do ứng dụng cung cấp.
Tìm hiểu các khái niệm chính
Hãy xem các khái niệm chính sau đây trước khi tạo các sản phẩm API.
- Khoá API
- Phê duyệt khoá theo cách tự động so với quy trình phê duyệt khoá thủ công
- Hạn mức
- Các phạm vi của OAuth
- Cấp truy cập
Khoá API
Khi bạn đăng ký ứng dụng của nhà phát triển trong tổ chức của mình, ứng dụng đó phải được liên kết với ít nhất một sản phẩm API. Khi ghép nối một ứng dụng với một hoặc nhiều sản phẩm API, Edge sẽ chỉ định cho ứng dụng một khoá người dùng duy nhất.
Khoá của người dùng hoặc mã truy cập có vai trò như thông tin xác thực cho yêu cầu. Nhà phát triển ứng dụng sẽ nhúng khoá người tiêu dùng vào ứng dụng để khi ứng dụng đưa ra yêu cầu sang một API do Edge lưu trữ, ứng dụng sẽ chuyển khoá của người dùng trong yêu cầu theo một trong những cách sau:
- Khi API sử dụng tính năng xác minh khoá API, ứng dụng phải truyền trực tiếp khoá của người dùng.
- Khi API sử dụng phương thức xác minh bằng mã OAuth, ứng dụng phải chuyển một mã thông báo thu được từ khoá của người dùng.
Quá trình thực thi khoá API không tự động diễn ra. Cho dù sử dụng khoá người dùng hay mã thông báo OAuth làm thông tin xác thực yêu cầu, Proxy API sẽ xác thực thông tin đăng nhập yêu cầu trong Các proxy API bằng cách thêm chính sách VerifyAPIKey hoặc chính sách OAuth/VerifyAccessToken, theo quy trình thích hợp. Nếu bạn không đưa chính sách thực thi thông tin xác thực vào Proxy API, bất kỳ phương thức gọi nào cũng có thể gọi API của bạn. Để biết thêm thông tin, xem Chính sách về Xác minh khoá API.
Để xác minh thông tin đăng nhập được chuyển trong yêu cầu, Edge sẽ thực hiện các bước sau:
- Lấy thông tin đăng nhập đã được chuyển cùng với yêu cầu. Đối với OAuth xác minh mã thông báo, Edge sẽ xác minh rằng mã đó chưa hết hạn, sau đó tra cứu người dùng khoá dùng để tạo mã thông báo.
- Truy xuất danh sách sản phẩm API mà khoá người dùng được liên kết.
- Xác nhận rằng Proxy API hiện tại được bao gồm trong Sản phẩm API và nếu đã bật đường dẫn tài nguyên (URL path) trên Sản phẩm API.
- Xác minh rằng khoá của người dùng chưa hết hạn hoặc bị thu hồi, cũng như kiểm tra để đảm bảo ứng dụng chưa bị thu hồi. và kiểm tra để đảm bảo rằng nhà phát triển ứng dụng đang hoạt động.
Nếu tất cả các bước kiểm tra ở trên vượt qua thì quá trình xác minh thông tin đăng nhập sẽ thành công.
Nói tóm lại, Edge sẽ tự động tạo khoá của người tiêu dùng, nhưng nhà xuất bản API phải làm thực thi quy trình kiểm tra khoá trong proxy API bằng cách sử dụng các chính sách phù hợp.
Tự động so với thủ công phê duyệt
Theo mặc định, tất cả các yêu cầu lấy khoá để truy cập vào một sản phẩm API từ một ứng dụng sẽ tự động được phê duyệt. Ngoài ra, bạn có thể định cấu hình sản phẩm API để phê duyệt khoá theo cách thủ công. Trong trường hợp này, bạn sẽ phải phê duyệt các yêu cầu chính từ những ứng dụng thêm sản phẩm API. Để biết thêm thông tin, hãy xem bài viết Đăng ký ứng dụng và quản lý API khoá.
Hạn mức
Hạn mức có thể giúp bảo vệ máy chủ phụ trợ của bạn trước lưu lượng truy cập cao và tạo sự khác biệt cho dòng sản phẩm của bạn. Ví dụ: bạn có thể muốn nhóm các tài nguyên có hạn mức cao dưới dạng một sản phẩm cao cấp và sử dụng cùng một gói nhưng có hạn mức thấp hơn so với sản phẩm cơ bản. Hạn mức có thể giúp bảo vệ máy chủ của bạn bị choáng ngợp nếu một sản phẩm phổ biến và nhận được số lượng lớn yêu cầu.
Để biết thông tin về cách định cấu hình hạn mức, hãy xem Chính sách về hạn mức. Để biết thông tin về bằng cách sử dụng chế độ cài đặt hạn mức sản phẩm trong chính sách hạn mức, hãy xem bài viết cộng đồng sau đây Chế độ cài đặt hạn mức trên một sản phẩm API tương tác với các chính sách về hạn mức trong proxy API như thế nào?.
Phạm vi của OAuth
Là một cấp độ bảo mật bổ sung, bạn có thể xác định bất kỳ phạm vi OAuth nào, dưới dạng danh sách được phân tách bằng dấu phẩy, phải có trong mã truy cập được gửi qua sản phẩm. Khi bạn tạo một sản phẩm, bạn cần lưu ý về tất cả các phạm vi mà tổ chức của bạn dùng. Phạm vi bạn thêm vào một sản phẩm phải khớp với các phạm vi hiện tại, nếu không sản phẩm sẽ không an toàn.
Để biết thêm thông tin về cách sử dụng phạm vi theo chính sách OAuth của Edge, hãy xem bài viết Làm việc với phạm vi OAuth2.
Cấp truy cập
Khi xác định một sản phẩm API, bạn có thể đặt các cấp truy cập sau đây.
| Cấp độ truy cập | Mô tả |
|---|---|
| Công khai | Sản phẩm API dành cho tất cả nhà phát triển. Bạn có thể thêm họ vào cổng thông tin dành cho nhà phát triển tích hợp hoặc dựa trên Drupal. |
| Chỉ dùng nội bộ hoặc riêng tư | Các sản phẩm API được thiết kế để sử dụng riêng tư hoặc nội bộ. Lưu ý: Không có sự khác biệt về chức năng giữa cấp truy cập Chỉ dành cho nội bộ và Riêng tư. Chọn nhãn mô tả đúng nhất đối tượng mục tiêu của sản phẩm API. Đối với cổng tích hợp, bạn có thể thêm các sản phẩm API riêng tư hoặc chỉ nội bộ, rồi cung cấp các sản phẩm đó cho nhà phát triển ứng dụng theo yêu cầu. Đối với cổng thông tin dành cho nhà phát triển dựa trên Drupal, bạn có thể quản lý quyền truy cập vào các sản phẩm API Riêng tư hoặc Chỉ dành cho nội bộ trên cổng thông tin dành cho nhà phát triển như mô tả trong các phần sau:
|