Bu sayfa, Cloud Translation API ile çevrilmiştir.

API anahtarları

Apigee Edge belgelerini görüntülüyorsunuz.
Apigee X belgelerine gidin. info

API anahtarı (Apigee Edge'de kullanıcı anahtarı olarak bilinir), istemci uygulaması tarafından API proxy'lerinize iletilen bir dize değeridir. Anahtar, istemci uygulamasını benzersiz bir şekilde tanımlar.

API anahtarı doğrulaması, bir API için yapılandırabileceğiniz en basit uygulama tabanlı güvenlik şeklidir. İstemci uygulaması, isteğinde bir API anahtarı sunar. Ardından Apigee Edge, API anahtarının istenen kaynak için onaylanmış durumda olup olmadığını kontrol eder. Proxy'leriniz, API anahtarının özgünlüğünü doğrulamak için dahili olarak politikaları kullanır.

Bu basitliği desteklemek için biraz kurulum yapmanız gerekir. API anahtarlarını desteklemek için şunları yapmanız gerekir:

API anahtarını kullanarak korumak istediğiniz API proxy'lerini bir araya getiren bir Apigee Edge API ürünü oluşturun.
Kimliğini doğrulayacağınız uygulamanın istemci uygulama geliştiricisini temsil eden bir Apigee Edge geliştirici uygulaması oluşturun.
Geliştirici uygulamasını oluştururken geliştiricinin uygulamasının erişeceği ve API anahtarı sağlaması gereken API ürünlerini belirtirsiniz.
Gelen API anahtarının geçerli olduğunu doğrulamak için proxy'lerinize (API ürününüze eklediğiniz proxy'ler) politikalar ekleyin.

API anahtarı zorunlu kılarak API'nin güvenliğini sağlama eğitimi, API anahtarıyla API proxy'sine erişimi nasıl kontrol edeceğinizi öğrenmenin hızlı bir yoludur.

Örnek: API anahtarı doğrulamasını zorunlu tutan çalışan bir örnek API proxy'si, GitHub'daki API Platformu Örnekleri bölümünde bulunabilir. Kendi API'nizin güvenliğini sağlamak için örnek API proxy'sini kullanabilirsiniz. /sample-proxies/apikey altındaki API proxy'sini bulun. TargetEndpoint yapılandırmasını URL'nizi işaret edecek şekilde değiştirin. Ardından dağıtın.

API anahtarlarının işleyiş şekli

Apigee Edge'de API anahtarına tüketici anahtarı denir. Geliştirici uygulamalarını kaydettiğinizde Apigee Edge bir tüketici anahtarı ve gizli anahtarı oluşturur. Apigee Edge, tüketici anahtarını gelecekteki doğrulama için saklar. Her tüketici anahtarı kuruluşta benzersizdir. Uygulama geliştirici, tüketici anahtarını istemci uygulamasına yerleştirir. İstemci uygulaması, her istek için tüketici anahtarını sunmalıdır. API Hizmetleri, uygulamanın isteğine izin vermeden önce tüketici anahtarını doğrular.

Üst düzey adımlar

Aşağıdaki adımlarda, API anahtarlarının Apigee Edge tarafından nasıl kullanıldığı açıklanmaktadır. Bu adımlar, genellikle API anahtarlarıyla birlikte kullanıldığından OAuth güvenliğinin olası varlığını da içerir.

API anahtarıyla korunması gereken API proxy'lerini içeren bir API ürünü oluşturun.
Kuruluşunuzda geliştirici uygulaması kaydettiğinizde Bunu yaptığınızda Apigee Edge, bir tüketici anahtarı ve tüketici gizli anahtarı oluşturur.
Geliştirici uygulamasını en az bir API ürünüyle ilişkilendirin. Kaynak yollarını ve API proxy'lerini anahtar onayı ile ilişkilendiren üründür.
Çalışma zamanında, istemci uygulaması API'nize istek gönderdiğinde istemci uygulaması, istek gönderirken tüketici anahtarını gönderir. Uygulamada, tüketici anahtarı açıkça iletilebilir veya OAuth jetonu üzerinden dolaylı olarak referans verilebilir:
- API, API anahtarı doğrulaması kullandığında (ör. VerifyAPIKey politikası uygulayarak) istemci uygulamasının tüketici anahtarını açıkça iletmesi gerekir.
- API, OAuth jetonu doğrulamasını kullandığında (ör. OAuthV2 politikası uygulayarak) istemci uygulaması, tüketici anahtarından türetilmiş bir jeton iletmelidir.
API Proxy, istek kimlik bilgilerini doğrular. Bu doğrulama, VerifyAPIKey politikası veya VerifyAccessToken işlemi içeren bir OAuthV2 politikası aracılığıyla yapılır. API proxy'nize kimlik bilgisi yaptırım politikası eklemezseniz API'lerinizi herhangi bir kullanıcı başarıyla çağırabilir. Daha fazla bilgi için API anahtarını doğrulama politikası başlıklı makaleyi inceleyin.

İstek kimlik bilgilerini doğrulama

Bu genel bir bakıştır. Ayrıntılar ve kod örnekleri için API anahtarı doğrulamasını ayarlama başlıklı makaleyi inceleyin.

OAuth jetonu doğrulamasını kullanıyorsanız (doğrulama için bir OAuth politikası uyguladıysanız ve istemci uygulaması bir OAuth jetonu gönderdiyse):
- Apigee Edge, jetonun geçerlilik süresinin dolmadığını doğrular ve ardından jetonu oluşturmak için kullanılan tüketici anahtarını arar.
API anahtarı kullanıyorsanız bir VerifyAPIKey politikası uygulamışsınızdır ve istemci uygulaması tüketici anahtarını iletmiştir:
1. Apigee Edge, tüketici anahtarının ilişkilendirildiği API Ürünleri listesini kontrol eder.
2. Edge, mevcut API proxy'nin API Ürününe dahil edilip edilmediğini ve mevcut kaynak yolunun (URL yolu) API Ürününde etkinleştirilip etkinleştirilmediğini görmek için her API Ürününü kontrol eder.
3. Edge, tüketici anahtarının süresinin dolmadığını veya iptal edilmediğini, uygulamanın iptal edilmediğini ve geliştiricinin etkin olmadığını da doğrular.
4. Bu koşulların tümü geçerliyse (geçerliyse) jetonun süresi dolmamışsa, tüketici anahtarı geçerli ve onaylanmışsa, uygulama onaylanmışsa, geliştirici etkinse, proxy üründe mevcutsa ve kaynak üründe mevcutsa kimlik bilgisi doğrulaması başarılı olur.