Bạn đang xem tài liệu về Apigee Edge.
Chuyển đến tài liệu về
Apigee X. thông tin
Các phần sau giới thiệu cho bạn các sản phẩm API và các khái niệm chính có liên quan.
Sản phẩm API là gì?
Là nhà cung cấp API, bạn tạo các sản phẩm API để gói các API của mình và cung cấp các sản phẩm đó cho nhà phát triển ứng dụng sử dụng. Bạn có thể coi các sản phẩm API là dòng sản phẩm của mình.
Cụ thể, một sản phẩm API sẽ nhóm các thành phần sau:
- Tập hợp các tài nguyên API (URI)
- Gói dịch vụ
- Siêu dữ liệu dành riêng cho doanh nghiệp của bạn để theo dõi hoặc phân tích (không bắt buộc)
Các tài nguyên API được đóng gói trong một sản phẩm API có thể đến từ một hoặc nhiều API, vì vậy, bạn có thể kết hợp và so khớp các tài nguyên để tạo các bộ tính năng chuyên biệt, như minh hoạ trong hình sau.
Bạn có thể tạo nhiều sản phẩm API để giải quyết các trường hợp sử dụng giải quyết các nhu cầu cụ thể. Ví dụ: bạn có thể tạo một sản phẩm API sẽ gói một số tài nguyên lập bản đồ để cho phép các nhà phát triển dễ dàng tích hợp bản đồ vào các ứng dụng của họ. Ngoài ra, bạn có thể đặt các thuộc tính khác nhau cho từng sản phẩm API, chẳng hạn như các mức giá khác nhau. Ví dụ: bạn có thể cung cấp các tổ hợp sản phẩm API sau:
- Sản phẩm API có giới hạn truy cập thấp, chẳng hạn như 1000 yêu cầu mỗi ngày với mức giá ưu đãi. Sản phẩm API thứ hai cung cấp quyền truy cập vào cùng các tài nguyên, nhưng có giới hạn truy cập cao hơn và giá cao hơn.
- Sản phẩm API miễn phí cung cấp quyền chỉ có thể đọc vào các tài nguyên. Sản phẩm API thứ hai cung cấp quyền đọc/ghi vào cùng các tài nguyên với một khoản phí nhỏ.
Ngoài ra, bạn có thể kiểm soát quyền truy cập vào các tài nguyên API trong một sản phẩm API. Ví dụ: bạn có thể gói các tài nguyên mà chỉ nhà phát triển nội bộ mới có thể truy cập hoặc chỉ dành cho khách hàng trả phí.
Sản phẩm API là cơ chế trung tâm để uỷ quyền và kiểm soát quyền truy cập vào các API của bạn. Trong Apigee, khoá API được cấp phép, không phải cho chính API mà cho các sản phẩm API. Nói cách khác, khoá API được cấp phép cho các gói tài nguyên có gói dịch vụ đi kèm.
Nhà phát triển ứng dụng có thể truy cập vào các sản phẩm API của bạn bằng cách đăng ký ứng dụng của họ, như mô tả trong phần Đăng ký ứng dụng. Khi một ứng dụng tìm cách truy cập vào một sản phẩm API, quá trình uỷ quyền sẽ được Apigee thực thi trong thời gian chạy để đảm bảo rằng:
- Ứng dụng yêu cầu được phép truy cập vào một tài nguyên API cụ thể.
- Ứng dụng yêu cầu không vượt quá hạn mức cho phép.
- Nếu được xác định, phạm vi OAuth đã xác định trong sản phẩm API sẽ khớp với phạm vi liên kết với mã truy cập do ứng dụng cung cấp.
Tìm hiểu các khái niệm chính
Hãy xem xét các khái niệm chính sau đây trước khi bạn tạo các sản phẩm API của mình.
Khoá API
Khi bạn đăng ký ứng dụng của nhà phát triển trong tổ chức của mình, ứng dụng đó phải được liên kết với ít nhất một sản phẩm API. Do việc ghép nối một ứng dụng với một hoặc nhiều sản phẩm API, Edge sẽ chỉ định cho ứng dụng một khoá người dùng duy nhất.
Khoá người dùng hoặc mã truy cập đóng vai trò là thông tin xác thực yêu cầu. Nhà phát triển ứng dụng sẽ nhúng khoá người dùng vào ứng dụng. Nhờ đó, khi gửi yêu cầu đến một API do Edge lưu trữ, ứng dụng sẽ chuyển khoá người dùng trong yêu cầu theo một trong các cách sau:
- Khi API sử dụng phương thức xác minh khoá API, ứng dụng phải trực tiếp truyền khoá người dùng.
- Khi API sử dụng phương thức xác minh bằng mã thông báo OAuth, ứng dụng phải truyền một mã thông báo lấy từ khoá của người dùng.
Hành động thực thi khoá API không tự động diễn ra. Cho dù sử dụng khoá của người dùng hay mã thông báo OAuth làm thông tin xác thực yêu cầu, Proxy API đều xác thực thông tin xác thực yêu cầu trong proxy API bằng cách thêm chính sáchVerifyAPIKey hoặc chính sách OAuth/VerifyAccessToken vào quy trình thích hợp. Nếu bạn không đưa chính sách thực thi thông tin xác thực vào Proxy API, thì mọi phương thức gọi đều có thể gọi các API của bạn. Để biết thêm thông tin, hãy xem Chính sách xác minh khoá API.
Để xác minh thông tin xác thực được chuyển trong yêu cầu, Edge sẽ thực hiện các bước sau:
- Lấy thông tin đăng nhập được chuyển cùng với yêu cầu. Trong trường hợp xác minh mã thông báo OAuth, Edge sẽ xác minh rằng mã thông báo chưa hết hạn, sau đó tìm kiếm khoá người dùng đã được dùng để tạo mã thông báo.
- Truy xuất danh sách sản phẩm API mà khoá người dùng đã liên kết.
- Xác nhận rằng Proxy API hiện tại có trong Sản phẩm API và liệu đường dẫn tài nguyên hiện tại (đường dẫn URL) có được bật trên Sản phẩm API hay không.
- Xác minh rằng khoá của người dùng chưa hết hạn hoặc chưa bị thu hồi, kiểm tra để đảm bảo ứng dụng chưa bị thu hồi và kiểm tra để đảm bảo rằng nhà phát triển ứng dụng đang hoạt động.
Nếu tất cả các bước kiểm tra ở trên đều vượt qua, thì quá trình xác minh thông tin xác thực sẽ thành công.
Tóm lại, Edge tự động tạo khoá người dùng, nhưng nhà xuất bản API phải sử dụng các chính sách phù hợp để thực thi quá trình kiểm tra khoá trong proxy API.
Phê duyệt tự động và thủ công
Theo mặc định, tất cả các yêu cầu lấy khoá để truy cập vào sản phẩm API từ một ứng dụng sẽ tự động được phê duyệt. Ngoài ra, bạn có thể định cấu hình sản phẩm API để phê duyệt khoá theo cách thủ công. Trong trường hợp này, bạn sẽ phải phê duyệt các yêu cầu chính của mọi ứng dụng đã thêm sản phẩm API. Để biết thêm thông tin, hãy xem phần Đăng ký ứng dụng và quản lý khoá API.
Hạn mức
Hạn mức có thể bảo vệ các máy chủ phụ trợ của bạn đối với lưu lượng truy cập cao và tạo sự khác biệt cho dòng sản phẩm của bạn. Ví dụ: Bạn có thể muốn gói các tài nguyên có hạn mức cao dưới dạng một sản phẩm cao cấp và sử dụng chính gói đó có hạn mức thấp hơn làm sản phẩm cơ bản. Hạn mức có thể giúp máy chủ của bạn không bị quá tải nếu một sản phẩm phổ biến và nhận được số lượng lớn yêu cầu.
Để biết thông tin về cách định cấu hình hạn mức, hãy xem Chính sách về hạn mức. Để biết thông tin về cách sử dụng chế độ cài đặt hạn mức sản phẩm trong chính sách hạn mức, hãy xem bài viết cộng đồng sau đây. Chế độ cài đặt hạn mức trên sản phẩm API tương tác như thế nào với chính sách hạn mức trong proxy API?.
Phạm vi OAuth
Để tăng cường bảo mật, bạn có thể xác định mọi phạm vi OAuth (dưới dạng danh sách được phân tách bằng dấu phẩy) phải có trong mã truy cập được gửi qua sản phẩm. Khi tạo sản phẩm, bạn cần biết rõ tất cả các phạm vi mà tổ chức của bạn sử dụng. Các phạm vi mà bạn thêm vào sản phẩm phải khớp với các phạm vi hiện có hoặc sản phẩm không an toàn.
Để biết thêm thông tin về cách sử dụng phạm vi với chính sách OAuth của Edge, hãy xem bài viết Làm việc với phạm vi OAuth2.
Cấp truy cập
Khi xác định một sản phẩm API, bạn có thể đặt các cấp truy cập sau.
| Cấp truy cập | Nội dung mô tả |
|---|---|
| Công khai | Sản phẩm API được cung cấp cho tất cả các nhà phát triển. Bạn có thể thêm khách hàng vào cổng thông tin được tích hợp hoặc cổng thông tin dành cho nhà phát triển dựa trên Drupal. |
| Riêng tư hoặc Chỉ nội bộ | Các sản phẩm API được thiết kế để sử dụng riêng tư hoặc sử dụng nội bộ. Lưu ý: Không có sự khác biệt về chức năng giữa cấp truy cập Riêng tư và Chỉ truy cập nội bộ. Chọn nhãn mô tả chính xác nhất đối tượng dự kiến của sản phẩm API. Đối với cổng thông tin tích hợp, bạn có thể thêm sản phẩm API riêng tư hoặc chỉ nội bộ và cung cấp các sản phẩm đó cho nhà phát triển ứng dụng theo yêu cầu. Đối với cổng thông tin dành cho nhà phát triển dựa trên Drupal, bạn có thể quản lý quyền truy cập vào các sản phẩm API riêng tư hoặc chỉ dành cho nội bộ trên cổng thông tin dành cho nhà phát triển của bạn như được mô tả trong các phần sau:
|