इस पेज का अनुवाद Cloud Translation API से किया गया है.

एपीआई कुंजियां

Apigee Edge का दस्तावेज़ देखा जा रहा है.
Apigee X के दस्तावेज़ पर जाएं. जानकारी

एपीआई पासकोड (Apigee Edge में इसे उपभोक्ता पासकोड कहा जाता है) एक स्ट्रिंग वैल्यू होती है, जिसे क्लाइंट ऐप्लिकेशन आपके एपीआई प्रॉक्सी को भेजता है. कुंजी, क्लाइंट ऐप्लिकेशन की पहचान करती है.

एपीआई पासकोड की पुष्टि करना, ऐप्लिकेशन पर आधारित सुरक्षा का सबसे आसान तरीका है. इसे किसी एपीआई के लिए कॉन्फ़िगर किया जा सकता है. क्लाइंट ऐप्लिकेशन, अपने अनुरोध के साथ एपीआई पासकोड दिखाता है. इसके बाद, Apigee Edge यह जांच करता है कि अनुरोध किए जा रहे संसाधन के लिए, एपीआई पासकोड की स्थिति 'मंज़ूरी दी गई' है या नहीं. आपकी प्रोक्सी, एपीआई पासकोड की पुष्टि करने के लिए, इंटरनल तौर पर नीतियों का इस्तेमाल करती हैं.

इस सुविधा का इस्तेमाल करने के लिए, आपको कुछ सेटअप करना होगा. एपीआई पासकोड का इस्तेमाल करने के लिए, आपको ये काम करने होंगे:

Apigee Edge एपीआई प्रॉडक्ट बनाएं. इसमें उन एपीआई प्रॉक्सी को बंडल करें जिन्हें आपको एपीआई पासकोड का इस्तेमाल करके सुरक्षित करना है.
Apigee Edge डेवलपर ऐप्लिकेशन बनाएं, जो क्लाइंट ऐप्लिकेशन डेवलपर को दिखाता है जिसका ऐप्लिकेशन आपको पुष्टि करना है.
डेवलपर ऐप्लिकेशन बनाते समय, आपको उन एपीआई प्रॉडक्ट की जानकारी देनी होती है जिनका ऐक्सेस डेवलपर के ऐप्लिकेशन के पास होगा. साथ ही, आपको उन प्रॉडक्ट के लिए एपीआई पासकोड भी देना होगा.
अपने प्रॉक्सी (जिन्हें आपने अपने एपीआई प्रॉडक्ट में शामिल किया है) में, नीतियां जोड़ें ताकि यह पुष्टि की जा सके कि आने वाला एपीआई पासकोड मान्य है.

एपीआई पासकोड की ज़रूरत डालकर, एपीआई को सुरक्षित करना ट्यूटोरियल से, एपीआई पासकोड की मदद से एपीआई प्रॉक्सी के ऐक्सेस को कंट्रोल करने का तरीका तुरंत सीखा जा सकता है.

ध्यान दें: एपीआई पासकोड से जुड़ी सुरक्षा सीमित है. एपीआई कुंजियों को ऐप्लिकेशन कोड से आसानी से निकाला जा सकता है और इनका इस्तेमाल एपीआई को ऐक्सेस करने के लिए किया जा सकता है. इसलिए, ये सुरक्षा टोकन के बजाय, यूनीक ऐप्लिकेशन आइडेंटिफ़ायर के तौर पर बेहतर तरीके से काम करती हैं. अगर आपको सुरक्षा लागू करने का तरीका जानना है, तो OAuth का होम पेज देखना न भूलें.

सैंपल: एपीआई पासकोड की पुष्टि करने वाला काम करने वाला सैंपल एपीआई प्रॉक्सी, GitHub पर उपलब्ध एपीआई प्लैटफ़ॉर्म के सैंपल में उपलब्ध है. अपने एपीआई को सुरक्षित रखने के लिए, सैंपल एपीआई प्रॉक्सी का इस्तेमाल किया जा सकता है. /sample-proxies/apikey में जाकर, एपीआई प्रॉक्सी ढूंढें. अपने यूआरएल पर ले जाने के लिए, TargetEndpoint कॉन्फ़िगरेशन में बदलाव करें. इसके बाद, डिप्लॉय करें.

एपीआई पासकोड के काम करने का तरीका

Apigee Edge में, एपीआई पासकोड को उपभोक्ता पासकोड कहा जाता है. डेवलपर ऐप्लिकेशन रजिस्टर करने पर, Apigee Edge एक उपभोक्ता कुंजी और सीक्रेट जनरेट करता है. Apigee Edge, आने वाले समय में पुष्टि करने के लिए, consumer key को सेव करता है. संगठन में हर उपभोक्ता कुंजी यूनीक होती है. ऐप्लिकेशन डेवलपर, क्लाइंट ऐप्लिकेशन में उपभोक्ता कुंजी को जोड़ता है. क्लाइंट ऐप्लिकेशन को हर अनुरोध के लिए उपभोक्ता कुंजी देनी होगी. एपीआई सेवाएं, ऐप्लिकेशन के अनुरोध को अनुमति देने से पहले, उपभोक्ता कुंजी की पुष्टि करती हैं.

हाई-लेवल वाले चरण

यहां बताया गया है कि Apigee Edge, एपीआई पासकोड का इस्तेमाल कैसे करता है. इन चरणों में, OAuth सुरक्षा की सुविधा भी शामिल हो सकती है, क्योंकि इसका इस्तेमाल अक्सर एपीआई कुंजियों के साथ किया जाता है.

एपीआई प्रॉडक्ट बनाएं. इसमें एपीआई प्रॉक्सी शामिल हैं, जिन्हें एपीआई पासकोड से सुरक्षित किया जाना चाहिए.
आपने अपने संगठन में डेवलपर ऐप्लिकेशन रजिस्टर किया हो. ऐसा करने पर, Apigee Edge एक उपयोगकर्ता कुंजी और उपयोगकर्ता सीक्रेट जनरेट करता है.
डेवलपर ऐप्लिकेशन को कम से कम एक एपीआई प्रॉडक्ट से जोड़ना. यह ऐसा प्रॉडक्ट है जो पासकोड की अनुमति के साथ, संसाधन पाथ और एपीआई प्रॉक्सी को जोड़ता है.
रन टाइम के दौरान, जब क्लाइंट ऐप्लिकेशन आपके एपीआई से अनुरोध करता है, तो क्लाइंट ऐप्लिकेशन अनुरोध करते समय, उपभोक्ता कुंजी भेजता है. आम तौर पर, उपयोगकर्ता कुंजी को साफ़ तौर पर पास किया जा सकता है या फिर OAuth टोकन के ज़रिए इसके बारे में जानकारी दी जा सकती है:
- जब एपीआई, एपीआई पासकोड की पुष्टि करता है, जैसे कि VerifyAPIKey नीति लागू करके -- तो क्लाइंट ऐप्लिकेशन को साफ़ तौर पर उपभोक्ता पासकोड पास करना होगा.
- जब एपीआई, OAuth टोकन की पुष्टि करता है, जैसे कि OAuthV2 नीति को लागू करके, तो क्लाइंट ऐप्लिकेशन को ऐसा टोकन पास करना होगा जो उपभोक्ता कुंजी से उपलब्ध कराया गया हो.
एपीआई प्रॉक्सी, अनुरोध के क्रेडेंशियल की पुष्टि करता है. इसके लिए, वह VerifyAPIKey नीति या VerifyAccessToken ऑपरेशन वाली OAuthV2 नीति का इस्तेमाल करता है. अगर आपने अपने एपीआई प्रॉक्सी में, क्रेडेंशियल लागू करने की नीति शामिल नहीं की है, तो कोई भी कॉलर आपके एपीआई को आसानी से इस्तेमाल कर सकता है. ज़्यादा जानकारी के लिए, एपीआई पासकोड की पुष्टि करने से जुड़ी नीति देखें.

अनुरोध के क्रेडेंशियल की पुष्टि करना

यहां खास जानकारी दी गई है. ज़्यादा जानकारी और कोड के उदाहरणों के लिए, एपीआई पासकोड की पुष्टि करने की सुविधा सेट अप करना देखना न भूलें.

अगर OAuth टोकन की पुष्टि की जा रही है, तो इसका मतलब है कि आपने पुष्टि करने के लिए OAuth नीति लागू की है और क्लाइंट ऐप्लिकेशन ने OAuth टोकन पास किया है:
- Apigee Edge, इस बात की पुष्टि करता है कि टोकन की समयसीमा खत्म नहीं हुई है. इसके बाद, वह उस उपभोक्ता कुंजी को खोजता है जिसका इस्तेमाल टोकन जनरेट करने के लिए किया गया था.
अगर एपीआई पासकोड का इस्तेमाल किया जा रहा है, तो आपने VerifyAPIKey नीति लागू की है और क्लाइंट ऐप्लिकेशन ने अपना उपभोक्ता पासकोड पास कर दिया है, तो:
1. Apigee Edge, उन एपीआई प्रॉडक्ट की सूची की जांच करता है जिनसे उपभोक्ता पासकोड को जोड़ा गया है.
2. Edge, हर एपीआई प्रॉडक्ट की जांच करता है, ताकि यह पता लगाया जा सके कि एपीआई प्रॉडक्ट में मौजूदा एपीआई प्रोक्सी शामिल है या नहीं. साथ ही, यह भी पता लगाया जाता है कि एपीआई प्रॉडक्ट पर मौजूदा रिसॉर्स पाथ (यूआरएल पाथ) चालू है या नहीं.
3. Edge यह भी पुष्टि करता है कि उपभोक्ता कुंजी की समयसीमा खत्म नहीं हुई है या उसे रद्द नहीं किया गया है. साथ ही, यह भी जांच करता है कि ऐप्लिकेशन को रद्द नहीं किया गया है और डेवलपर ऐक्टिव है या नहीं.
4. अगर ये सभी बातें सही हैं -- टोकन की समयसीमा खत्म नहीं हुई है (अगर लागू हो), उपभोक्ता कुंजी मान्य है और उसे मंज़ूरी मिली है, ऐप्लिकेशन को मंज़ूरी मिली है, डेवलपर ऐक्टिव है, प्रॉक्सी प्रॉडक्ट में उपलब्ध है, और प्रॉडक्ट पर संसाधन उपलब्ध है -- तो क्रेडेंशियल की पुष्टि हो जाती है.