API-Schlüssel

Sie sehen die Dokumentation zu Apigee Edge.
Zur Apigee X-Dokumentation
weitere Informationen

Ein API-Schlüssel (in Apigee Edge als Consumer-Schlüssel bezeichnet) ist ein Stringwert, der von einer Client-App an Ihre API-Proxys übergeben wird. Der Schlüssel identifiziert die Client-App zweifelsfrei.

Die Validierung per API-Schlüssel ist die einfachste Form der anwendungsbasierten Sicherheit, die Sie für eine API konfigurieren können. Eine Client-App stellt einfach einen API-Schlüssel mit ihrer Anfrage bereit. Anschließend prüft Apigee Edge, ob sich der API-Schlüssel für die angeforderte Ressource in einem genehmigten Status befindet. Intern verwenden Ihre Proxys Richtlinien, um die Authentizität von API-Schlüsseln zu prüfen.

Für diese Einfachheit müssen Sie ein paar Dinge einrichten. Zur Unterstützung von API-Schlüsseln müssen Sie Folgendes tun:

  • Erstellen Sie ein Apigee Edge API-Produkt, das die API-Proxys bündelt, die Sie mit dem API-Schlüssel schützen möchten.
  • Erstellen Sie eine Apigee Edge-Entwickleranwendung, die den Entwickler der Client-App darstellt, dessen Anwendung Sie authentifizieren.

    Beim Erstellen der Entwickler-App geben Sie API-Produkte an, auf die die App des Entwicklers Zugriff hat, und für die sie einen API-Schlüssel bereitstellen muss.

  • Fügen Sie den Proxys, also den API-Aufrufen, die Sie in Ihrem API-Produkt hinzugefügt haben, Richtlinien hinzu, um zu prüfen, ob ein eingehender API-Schlüssel gültig ist.

In der Anleitung API durch Anfordern von API-Schlüsseln sichern erfahren Sie, wie Sie den Zugriff auf API-Proxys mit API-Schlüsseln steuern.

Funktionsweise von API-Schlüsseln

In Apigee Edge wird ein API-Schlüssel als Consumer-Key bezeichnet. Wenn Sie Entwickler-Apps registrieren, generiert Apigee Edge einen Consumer-Schlüssel und ein Geheimnis. Apigee Edge speichert den Consumer-Key für die zukünftige Validierung. Jeder Consumer-Schlüssel ist in der Organisation eindeutig. Der App-Entwickler bettet den Consumer-Key in die Client-App ein. Die Clientanwendung muss für jede Anfrage den Consumer-Key angeben. API-Dienste überprüfen den Consumer-Key, bevor die Anfrage der Anwendung zugelassen wird.

Allgemeine Schritte

In den folgenden Schritten wird beschrieben, wie API-Schlüssel von Apigee Edge verwendet werden. Diese Schritte umfassen auch die optional vorhandene OAuth-Sicherheit, da sie häufig in Verbindung mit API-Schlüsseln verwendet wird.

  1. Erstellen Sie ein API-Produkt mit API-Proxys, die mit dem API-Schlüssel geschützt werden sollen.
  2. Sie registrieren eine Entwickler-App in Ihrer Organisation. Dabei generiert Apigee Edge einen Consumer-Key und ein Consumer-Secret.
  3. Entwickler-App mit mindestens einem API-Produkt verknüpfen Es ist das Produkt, das Ressourcenpfade und API-Proxys der Schlüsselgenehmigung zuordnet.
  4. Bei der Ausführung, wenn die Client-App eine Anfrage an Ihre API stellt, sendet die Client-App mit der Anfrage den Consumer-Key. In der Praxis kann der Consumer-Key entweder explizit übergeben oder implizit über ein OAuth-Token referenziert werden:
    • Wenn die API die API-Schlüsselprüfung nutzt, z. B. durch Implementieren einer VerifyAPIKey-Richtlinie, muss die Client-App den Consumer-Key explizit übergeben.
    • Wenn die API die OAuth-Token-Verifizierung nutzt, z. B. durch Implementieren einer OAuthV2-Richtlinie, muss die Client-App ein Token übergeben, das vom Consumer-Key abgeleitet wurde.
  5. Der API-Proxy validiert die Anfrage entweder mithilfe einer VerifyAPIKey-Richtlinie oder anhand einer OAuthV2-Richtlinie mit einem VerifyAccessToken-Vorgang. Wenn Sie in Ihrem API-Proxy keine Richtlinie zur Durchsetzung von Anmeldedaten angeben, kann jeder Aufrufer Ihre APIs erfolgreich aufrufen. Weitere Informationen finden Sie unter Richtlinie für API-Schlüssel prüfen.

Anfrage-Anmeldedaten prüfen

Dies ist eine Übersicht. Weitere Informationen und Codebeispiele finden Sie unter Validierung von API-Schlüsseln einrichten.

  1. Wenn Sie die OAuth-Tokenüberprüfung verwenden, haben Sie eine OAuth-Richtlinie zur Überprüfung implementiert und die Clientanwendung hat ein OAuth-Token übergeben:
    • Apigee Edge überprüft, ob das Token abgelaufen ist, und sucht dann nach dem Consumer-Schlüssel, mit dem das Token generiert wurde.
  2. Wenn Sie einen API-Schlüssel verwenden, haben Sie eine ConfirmAPIKey-Richtlinie implementiert und die Client-App hat ihren Consumer-Key weitergegeben:
    1. Apigee Edge prüft die Liste der API-Produkte, mit denen der Consumer-Key verknüpft ist.
    2. Edge prüft jedes API-Produkt, um zu sehen, ob der aktuelle API-Proxy im API-Produkt enthalten ist und ob der aktuelle Ressourcenpfad (URL-Pfad) für das API-Produkt aktiviert ist.
    3. Edge überprüft auch, ob der Consumer-Key abgelaufen oder widerrufen ist, prüft, ob die Anwendung nicht widerrufen wurde, und prüft, ob der Entwickler nicht inaktiv ist.
    4. Wenn all diese Voraussetzungen erfüllt sind, das Token nicht abgelaufen (falls zutreffend), der Consumer-Schlüssel gültig und genehmigt ist, die App genehmigt ist, der Entwickler aktiv ist, der Proxy im Produkt verfügbar und die Ressource für das Produkt verfügbar ist, dann ist die Überprüfung der Anmeldedaten erfolgreich.