Bạn đang xem tài liệu về Apigee Edge.
Chuyển đến tài liệu về
Apigee X. thông tin
Khoá API (gọi là khoá người tiêu dùng trong Apigee Edge) là một giá trị chuỗi mà ứng dụng khách truyền đến các proxy API của bạn. Khoá xác định duy nhất ứng dụng.
Xác thực khoá API là hình thức đơn giản nhất để bảo mật dựa trên ứng dụng mà bạn có thể định cấu hình cho một API. Một ứng dụng khách chỉ cần trình bày khoá API kèm theo yêu cầu của nó, sau đó Apigee Edge sẽ kiểm tra để đảm bảo rằng khoá API đang ở trạng thái được phê duyệt cho tài nguyên đang được yêu cầu. Trong nội bộ, các proxy của bạn dùng các chính sách để xác minh tính xác thực của khoá API.
Để hỗ trợ sự đơn giản này, bạn cần thiết lập một chút. Để hỗ trợ khoá API, bạn cần phải:
- Tạo một sản phẩm API Apigee Edge bao gồm các proxy API mà bạn muốn bảo vệ bằng khoá API.
-
Tạo ứng dụng dành cho nhà phát triển Apigee Edge để đại diện cho nhà phát triển ứng dụng khách có ứng dụng mà bạn sẽ xác thực.
Khi tạo ứng dụng của nhà phát triển, bạn chỉ định các sản phẩm API mà ứng dụng của nhà phát triển sẽ có quyền truy cập vào – và ứng dụng cần cung cấp khoá API.
- Đối với các proxy của bạn (các proxy mà bạn đã đưa vào sản phẩm API của mình), hãy thêm chính sách để xác minh rằng khoá API đến là hợp lệ.
Hướng dẫn Bảo mật API bằng cách yêu cầu khoá API là một cách nhanh chóng để tìm hiểu cách kiểm soát quyền truy cập vào proxy API bằng khoá API.
Cách hoạt động của khoá API
Trong Apigee Edge, khoá API được gọi là khoá của người dùng. Khi bạn đăng ký ứng dụng dành cho nhà phát triển, Apigee Edge sẽ tạo một khoá và khoá bí mật cho người dùng. Apigee Edge lưu trữ khoá của người dùng để xác thực trong tương lai. Mỗi khoá của người dùng là duy nhất trong tổ chức. Nhà phát triển ứng dụng sẽ nhúng khoá người dùng vào ứng dụng. Ứng dụng phải hiển thị khoá người dùng trong mỗi yêu cầu. Dịch vụ API xác minh khoá người dùng trước khi cho phép yêu cầu của ứng dụng.
Các bước nâng cao
Các bước sau đây mô tả cách Apigee sử dụng khoá API. Các bước này cũng bao gồm cả sự hiện diện của biện pháp bảo mật OAuth, vì phương pháp này thường được dùng cùng với các khoá API.
- Tạo một sản phẩm API bao gồm các proxy API cần được bảo vệ bằng khoá API.
- Bạn đăng ký ứng dụng dành cho nhà phát triển trong tổ chức của mình. Khi bạn sử dụng Apigee Edge, hãy tạo khoá người dùng và khoá bí mật của người tiêu dùng.
- Liên kết ứng dụng của nhà phát triển với ít nhất một sản phẩm API. Đây là sản phẩm liên kết đường dẫn tài nguyên và proxy API với yêu cầu phê duyệt khoá.
- Trong thời gian chạy, khi ứng dụng khách gửi yêu cầu đến API của bạn, ứng dụng khách sẽ gửi khoá người dùng khi đưa ra yêu cầu. Trong thực tế, khoá của người dùng có thể được truyền một cách rõ ràng hoặc có thể được ngầm tham chiếu qua một mã thông báo OAuth:
- Khi API sử dụng tính năng xác minh khoá API (chẳng hạn như triển khai chính sách VerifyAPIKey) thì ứng dụng khách phải chuyển khoá người dùng một cách rõ ràng.
- Khi API sử dụng phương thức xác minh mã thông báo OAuth (chẳng hạn như triển khai chính sách OAuthV2), ứng dụng khách phải chuyển mã thông báo lấy từ khoá của người dùng.
- Proxy API xác thực thông tin xác thực yêu cầu thông qua chính sách VerifyAPIKey hoặc chính sách OAuthV2 bằng thao tác VerifyAccessToken. Nếu bạn không đưa chính sách thực thi thông tin xác thực vào Proxy API, thì mọi phương thức gọi đều có thể gọi thành công các API của bạn. Để biết thêm thông tin, hãy xem Chính sách về xác minh khoá API.
Xác minh thông tin xác thực cho yêu cầu
Đây là phần tổng quan. Hãy nhớ xem phần Thiết lập tính năng xác thực khoá API để biết thông tin chi tiết và ví dụ về mã.
- Nếu đang sử dụng phương thức xác minh mã thông báo OAuth – bạn đã triển khai một chính sách OAuth để xác minh và ứng dụng khách đã chuyển mã thông báo OAuth:
- Apigee Edge xác minh rằng mã thông báo chưa hết hạn, sau đó tra cứu khoá của người dùng đã được dùng để tạo mã thông báo.
- Nếu đang dùng khoá API, bạn đã triển khai chính sách VerifyAPIKey và ứng dụng khách đã chuyển khoá người dùng:
- Apigee Edge sẽ kiểm tra danh sách Sản phẩm API liên kết với khoá của người dùng.
- Edge kiểm tra từng Sản phẩm API để xem Proxy API hiện tại có được bao gồm trong Sản phẩm API hay không và đường dẫn tài nguyên hiện tại (đường dẫn url) có được bật trên Sản phẩm API hay không.
- Edge cũng xác minh rằng khoá của người dùng chưa hết hạn hoặc chưa bị thu hồi, kiểm tra để đảm bảo ứng dụng chưa bị thu hồi và kiểm tra để đảm bảo rằng nhà phát triển hiện không hoạt động.
- Nếu tất cả những điều trên đều đúng – mã thông báo chưa hết hạn (nếu có), khoá người dùng là hợp lệ và được phê duyệt, ứng dụng đã được phê duyệt, nhà phát triển đang hoạt động, proxy có trong sản phẩm và tài nguyên có sẵn trên sản phẩm – việc xác minh thông tin xác thực sẽ thành công.