Estás consultando la documentación de Apigee Edge.
Consulta la
documentación de Apigee X. Información
Una clave de API (conocida en Apigee Edge como una clave de consumidor) es un valor de string que pasa una app cliente a los proxies de API. La clave identifica de forma única la app cliente.
La validación de la clave de API es la forma más simple de seguridad basada en aplicaciones que puedes configurar para una API. Una app cliente simplemente presenta una clave de API con su solicitud. Luego, Apigee Edge verifica que la clave de API esté en un estado aprobado para el recurso solicitado. De forma interna, tus proxies usan políticas para verificar la autenticidad de la clave de API.
Para admitir esta sencillez, necesitarás realizar cierta configuración. Para admitir claves de API, deberás realizar lo siguiente:
- Crea un producto de API de Apigee Edge que agrupe los proxies de API que quieres proteger con la clave de API.
-
Crea una app de desarrollador de Apigee Edge que represente al desarrollador de apps cliente cuya app autenticarás.
Cuando creas una app de desarrollador, debes especificar los productos de API a los que la app tendrá acceso y para los cuales deberá proporcionar una clave de API.
- Para los proxies (los que incluiste en tu producto de API), agrega políticas a fin de verificar que una clave de API entrante sea válida.
El instructivo Protege una API mediante la solicitud de claves de API es una forma rápida de aprender a controlar el acceso a un proxy de API con una clave de API.
Cómo funcionan las claves de API
En Apigee Edge, una clave de API se conoce como clave de consumidor. Cuando registras apps de desarrollador, Apigee Edge genera una clave y un secreto del consumidor. Apigee Edge almacena la clave de consumidor para una validación futura. Cada clave de consumidor es única en la organización. El desarrollador de la app incorpora la clave de consumidor en la app cliente. La app cliente debe presentar la clave de consumidor para cada solicitud. Los servicios de API verifican la clave de consumidor antes de permitir la solicitud de la app.
Pasos de alto nivel
En los siguientes pasos, se describe cómo Apigee Edge usa las claves de API. En estos pasos, también se incluye la posible presencia de seguridad de OAuth, ya que a menudo se usa junto con las claves de API.
- Crea un producto de API que incluya proxies de API que deberían protegerse con la clave de API.
- Debes registrar una app de desarrollador en tu organización. Cuando lo hagas, Apigee Edge generará una clave de consumidor y un secreto de consumidor.
- Asocia la app de desarrollador con al menos un producto de API. Es el producto que asocia las rutas de recursos y los proxies de API con la aprobación de la clave.
- En el momento de la ejecución, cuando la app cliente envía una solicitud a tu API, la app cliente envía la clave de consumidor. En la práctica, la clave de consumidor puede pasarse de manera explícita o se puede hacer referencia a ella de manera implícita con un token de OAuth:
- Cuando la API usa la verificación de claves de API, por ejemplo, mediante la implementación de una política VerifyAPIKey, la app cliente debe pasar la clave de consumidor de forma explícita.
- Cuando la API usa la verificación de tokens de OAuth, por ejemplo, mediante la implementación de una política de OAuthV2, la app cliente debe pasar un token que derive de la clave de consumidor.
- El proxy de API valida las credenciales a través de una política VerifyAPIKey o una política de OAuthV2 con una operación VerifyAccessToken. Si no incluyes una política de aplicación de credenciales en el proxy de API, cualquier emisor puede invocar tus API. Para obtener más información, consulta la política de verificación de las claves de API.
Verifica las credenciales de la solicitud
Esta es una descripción general. Asegúrate de consultar Cómo configurar la validación de la clave de API para obtener detalles y ejemplos de código.
- Si usas la verificación con token de OAuth, implementaste una política de OAuth para la verificación y la app cliente pasó un token de OAuth:
- Apigee Edge verifica que el token no esté vencido y, luego, busca la clave de consumidor que se usó para generarlo.
- Si usas una clave de API, significa que implementaste una política VerifyAPIKey y la app cliente pasó su clave de consumidor:
- Apigee Edge verifica la lista de productos de API con los que se asoció la clave de consumidor.
- Edge verifica cada producto de API para ver si el proxy de API actual se incluye en el producto de API y si la ruta de acceso del recurso actual (ruta de URL) está habilitada en el producto de API.
- Edge también verifica que la clave de consumidor no esté vencida ni revocada, comprueba que la app no esté revocada y que el desarrollador no esté inactivo.
- Si todas estas condiciones de cumplen, la verificación de credenciales se completa con éxito: el token no está vencido (si corresponde), la clave de consumidor es válida y está aprobada, la app está aprobada, el desarrollador está activo, el proxy está disponible en el producto, y el recurso está disponible en el producto.