คุณกําลังดูเอกสารประกอบของ Apigee Edge
ไปที่เอกสารประกอบของ Apigee X info
คีย์ API (เรียกว่าคีย์ผู้บริโภคใน Apigee Edge) คือค่าสตริงที่แอปไคลเอ็นต์ส่งผ่านไปยังพร็อกซี API คีย์จะระบุแอปไคลเอ็นต์อย่างไม่ซ้ำกัน
การตรวจสอบคีย์ API เป็นรูปแบบการรักษาความปลอดภัยที่อิงตามแอปที่ง่ายที่สุดซึ่งคุณกำหนดค่าให้กับ API ได้ แอปไคลเอ็นต์เพียงแค่แสดงคีย์ API กับคำขอ จากนั้น Apigee Edge จะตรวจสอบว่าคีย์ API อยู่ในสถานะที่อนุมัติสำหรับทรัพยากรที่ขอหรือไม่ ภายในองค์กร พร็อกซีจะใช้นโยบายเพื่อยืนยันความถูกต้องของคีย์ API
คุณจะต้องทำการตั้งค่าเล็กน้อยเพื่อรองรับความเรียบง่ายนี้ หากต้องการรองรับคีย์ API คุณจะต้องทําดังนี้
- สร้างผลิตภัณฑ์ API ของ Apigee Edge ที่รวมพร็อกซี API ที่ต้องการปกป้องโดยใช้คีย์ API
-
สร้างแอปนักพัฒนาแอป Apigee Edge ที่แสดงถึงนักพัฒนาแอปไคลเอ็นต์ซึ่งคุณจะต้องตรวจสอบสิทธิ์แอป
ในการสร้างแอปของนักพัฒนาแอป คุณต้องระบุผลิตภัณฑ์ API ที่แอปของนักพัฒนาแอปจะมีสิทธิ์เข้าถึง และแอปจะต้องระบุคีย์ API ของผลิตภัณฑ์นั้น
- เพิ่มนโยบายในพร็อกซี (พร็อกซีที่คุณรวมไว้ในผลิตภัณฑ์ API) เพื่อยืนยันว่าคีย์ API ที่เข้ามานั้นถูกต้อง
บทแนะนำรักษาความปลอดภัยให้ API โดยกำหนดให้ต้องมีคีย์ API เป็นวิธีที่รวดเร็วในการดูวิธีควบคุมการเข้าถึงพร็อกซี API ด้วยคีย์ API
วิธีการทํางานของคีย์ API
ใน Apigee Edge คีย์ API เรียกว่าคีย์ผู้บริโภค เมื่อคุณลงทะเบียนแอปของนักพัฒนาแอป Apigee Edge จะสร้างคีย์และข้อมูลลับของผู้บริโภค Apigee Edge จะจัดเก็บคีย์ผู้บริโภคไว้เพื่อใช้ตรวจสอบในอนาคต คีย์ผู้บริโภคแต่ละรายการจะซ้ำกันในองค์กรไม่ได้ นักพัฒนาแอปฝังคีย์ผู้บริโภคในแอปไคลเอ็นต์ โดยแอปไคลเอ็นต์ต้องแสดงคีย์ผู้บริโภคสำหรับคำขอแต่ละรายการ บริการ API จะยืนยันคีย์ผู้บริโภคก่อนอนุญาตให้คำขอของแอป
ขั้นตอนระดับสูง
ขั้นตอนต่อไปนี้จะอธิบายวิธีใช้คีย์ API โดย Apigee Edge ขั้นตอนเหล่านี้อาจรวมถึงการรักษาความปลอดภัย OAuth ด้วย เนื่องจากมักใช้ร่วมกับคีย์ API
- สร้างผลิตภัณฑ์ API ที่มีพร็อกซี API ซึ่งควรได้รับการปกป้องด้วยคีย์ API
- คุณลงทะเบียนแอปของนักพัฒนาแอปในองค์กร เมื่อคุณดำเนินการดังกล่าว Apigee Edge จะสร้างคีย์ผู้บริโภคและข้อมูลลับของผู้บริโภค
- เชื่อมโยงแอปของนักพัฒนาแอปกับผลิตภัณฑ์ API อย่างน้อย 1 รายการ ซึ่งเป็นผลิตภัณฑ์ที่เชื่อมโยงเส้นทางทรัพยากรและพร็อกซี API กับการอนุมัติคีย์
- ขณะรันไทม์ เมื่อแอปไคลเอ็นต์ส่งคําขอไปยัง API ของคุณ แอปไคลเอ็นต์จะส่งคีย์ผู้บริโภคเมื่อส่งคําขอ ในทางปฏิบัติ คีย์ผู้ใช้อาจส่งผ่านอย่างชัดแจ้งหรืออาจมีการอ้างอิงโดยนัยผ่านโทเค็น OAuth ดังนี้
- เมื่อ API ใช้การยืนยันคีย์ API เช่น การใช้นโยบาย VerifyAPIKey แอปไคลเอ็นต์ต้องส่งคีย์ผู้บริโภคอย่างชัดเจน
- เมื่อ API ใช้การตรวจสอบโทเค็น OAuth เช่น การใช้นโยบาย OAuthV2 แอปไคลเอ็นต์ต้องส่งโทเค็นที่มาจากคีย์ผู้ใช้
- API Proxy จะตรวจสอบความถูกต้องของข้อมูลเข้าสู่ระบบของคำขอผ่านนโยบาย VerifyAPIKey หรือนโยบาย OAuthV2 ที่มีการดำเนินการ VerifyAccessToken หากคุณไม่ได้ระบุนโยบายการบังคับใช้ข้อมูลเข้าสู่ระบบในพร็อกซี API ผู้เรียกใช้ทุกคนจะเรียก API ของคุณได้สําเร็จ ดูข้อมูลเพิ่มเติมได้ที่นโยบายการยืนยันคีย์ API
ยืนยันข้อมูลเข้าสู่ระบบของคำขอ
ข้อมูลนี้เป็นภาพรวม โปรดดูรายละเอียดและตัวอย่างโค้ดที่หัวข้อการตั้งค่าการตรวจสอบคีย์ API
- หากคุณใช้การยืนยันโทเค็น OAuth แสดงว่าคุณได้ติดตั้งใช้งานนโยบาย OAuth เพื่อยืนยันแล้ว และแอปไคลเอ็นต์ส่งโทเค็น OAuth แล้ว ให้ทำดังนี้
- Apigee Edge จะยืนยันว่าโทเค็นยังไม่หมดอายุ จากนั้นจะค้นหาคีย์ผู้บริโภคที่ใช้สร้างโทเค็น
- หากคุณใช้คีย์ API แสดงว่าคุณได้ติดตั้งใช้งานนโยบาย VerifyAPIKey และแอปไคลเอ็นต์ได้ส่งคีย์ผู้บริโภคแล้ว โดยทำดังนี้
- Apigee Edge จะตรวจสอบรายการผลิตภัณฑ์ API ที่เชื่อมโยงกับคีย์ผู้บริโภค
- Edge จะตรวจสอบผลิตภัณฑ์ API แต่ละรายการเพื่อดูว่าพร็อกซี API ปัจจุบันรวมอยู่ในผลิตภัณฑ์ API หรือไม่ และเปิดใช้เส้นทางทรัพยากรปัจจุบัน (เส้นทาง URL) ในผลิตภัณฑ์ API หรือไม่
- นอกจากนี้ Edge จะตรวจสอบว่าคีย์ผู้บริโภคยังไม่หมดอายุหรือถูกเพิกถอน ตรวจสอบว่าแอปไม่ถูกเพิกถอน และตรวจสอบว่านักพัฒนาแอปไม่ได้หยุดทำงาน
- หากข้อมูลทั้งหมดดังกล่าวเป็นจริง นั่นคือ โทเค็นไม่หมดอายุ (หากมี) คีย์ผู้บริโภคถูกต้องและได้รับอนุมัติ แอปได้รับอนุมัติ นักพัฒนาแอปมีการใช้งานอยู่ พร็อกซีพร้อมใช้งานในผลิตภัณฑ์ และทรัพยากรพร้อมใช้งานในผลิตภัณฑ์ การยืนยันข้อมูลเข้าสู่ระบบจะสำเร็จ