این صفحه به‌وسیله ‏Cloud Translation API‏ ترجمه شده است.

کلیدهای API

شما در حال مشاهده اسناد Apigee Edge هستید.
به مستندات Apigee X بروید . اطلاعات

یک کلید API (که در Apigee Edge به عنوان کلید مصرف‌کننده شناخته می‌شود) یک مقدار رشته‌ای است که توسط برنامه مشتری به پراکسی‌های API شما ارسال می‌شود. کلید به طور منحصر به فرد برنامه مشتری را شناسایی می کند.

اعتبار سنجی کلید API ساده ترین شکل امنیت مبتنی بر برنامه است که می توانید برای یک API پیکربندی کنید. یک برنامه مشتری به سادگی یک کلید API را همراه با درخواست خود ارائه می دهد، سپس Apigee Edge بررسی می کند که آیا کلید API در وضعیت تایید شده برای منبع درخواست شده است. در داخل، پراکسی‌های شما از خط‌مشی‌هایی برای تأیید صحت کلید API استفاده می‌کنند.

برای پشتیبانی از این سادگی، باید کمی تنظیمات را انجام دهید. برای پشتیبانی از کلیدهای API، باید:

یک محصول Apigee Edge API ایجاد کنید که پراکسی‌های API را که می‌خواهید با استفاده از کلید API محافظت کنید، یکپارچه می‌کند.
یک برنامه توسعه‌دهنده Apigee Edge ایجاد کنید که نشان‌دهنده توسعه‌دهنده برنامه مشتری باشد که برنامه‌اش را احراز هویت می‌کنید.
در ایجاد برنامه توسعه‌دهنده، محصولات API را مشخص می‌کنید که برنامه توسعه‌دهنده به آنها دسترسی داشته باشد - و برای آنها باید یک کلید API ارائه کند.
به پراکسی‌های خود (آنهایی که در محصول API خود وارد کرده‌اید)، خط‌مشی‌هایی را اضافه کنید تا تأیید کنید یک کلید API ورودی معتبر است.

آموزش ایمن کردن یک API با نیاز به کلیدهای API راهی سریع برای یادگیری نحوه کنترل دسترسی به پروکسی API با یک کلید API است.

نمونه: نمونه کار پراکسی API که اعتبار سنجی کلید API را اعمال می کند در نمونه های پلتفرم API موجود در Github موجود است. می توانید از نمونه پروکسی API برای ایمن سازی API خود استفاده کنید. پراکسی API موجود در /sample-proxies/apikey را پیدا کنید. پیکربندی TargetEndpoint را تغییر دهید تا به URL شما اشاره کند. سپس مستقر کنید.

کلیدهای API چگونه کار می کنند

در Apigee Edge از یک کلید API به عنوان کلید مصرف کننده یاد می شود. هنگامی که برنامه های توسعه دهنده را ثبت می کنید، Apigee Edge یک کلید مصرف کننده و راز تولید می کند. Apigee Edge کلید مصرف کننده را برای اعتبارسنجی آینده ذخیره می کند. هر کلید مصرف کننده در سازمان منحصر به فرد است. توسعه‌دهنده برنامه کلید مصرف‌کننده را در برنامه مشتری جاسازی می‌کند. برنامه مشتری باید کلید مصرف کننده را برای هر درخواست ارائه دهد. خدمات API کلید مصرف کننده را قبل از اجازه درخواست برنامه تأیید می کند.

مراحل سطح بالا

مراحل زیر نحوه استفاده از کلیدهای API توسط Apigee Edge را شرح می دهد. این مراحل شامل وجود احتمالی امنیت OAuth نیز می شود، زیرا اغلب همراه با کلیدهای API استفاده می شود.

یک محصول API ایجاد کنید که شامل پراکسی های API باشد که باید با کلید API محافظت شوند.
شما یک برنامه توسعه دهنده را در سازمان خود ثبت می کنید . وقتی Apigee Edge یک کلید مصرف کننده و یک راز مصرف کننده تولید می کند.
برنامه توسعه دهنده را با حداقل یک محصول API مرتبط کنید . این محصولی است که مسیرهای منبع و پروکسی های API را با تأیید کلید مرتبط می کند.
در زمان اجرا، زمانی که برنامه سرویس گیرنده درخواستی را به API شما ارسال می کند، برنامه مشتری هنگام درخواست، کلید مصرف کننده را ارسال می کند . در عمل، کلید مصرف کننده ممکن است به طور صریح ارسال شود یا ممکن است به طور ضمنی از طریق یک توکن OAuth به آن ارجاع داده شود:
- هنگامی که API از تأیید کلید API استفاده می کند - مانند اجرای یک خط مشی VerifyAPIKey - برنامه مشتری باید کلید مصرف کننده را به صراحت ارسال کند.
- هنگامی که API از تأیید توکن OAuth استفاده می کند - مانند اجرای یک خط مشی OAuthV2 - برنامه مشتری باید رمزی را ارسال کند که از کلید مصرف کننده مشتق شده است.
پروکسی API اعتبار درخواست را از طریق یک خط‌مشی VerifyAPIKey یا یک خط‌مشی OAuthV2 با عملیات VerifyAccessToken تأیید می‌کند . اگر خط مشی اجرایی اعتبارنامه را در پروکسی API خود وارد نکنید، هر تماس گیرنده می تواند با موفقیت API های شما را فراخوانی کند. برای اطلاعات بیشتر، به تأیید خط مشی کلید API مراجعه کنید.

تأیید اعتبار درخواست

این یک مرور کلی است. برای جزئیات و نمونه‌های کد، حتماً تنظیمات تأیید اعتبار کلید API را ببینید.

اگر از تأیید کد OAuth استفاده می کنید - یک خط مشی OAuth برای تأیید اجرا کرده اید و برنامه مشتری یک نشانه OAuth را ارسال کرده است:
- Apigee Edge تأیید می کند که توکن منقضی نشده است و سپس کلید مصرف کننده را که برای تولید توکن استفاده شده است را جستجو می کند.
اگر از یک کلید API استفاده می کنید -- یک خط مشی VerifyAPIKey را اجرا کرده اید و برنامه مشتری کلید مصرف کننده خود را ارسال کرده است:
1. Apigee Edge لیست محصولات API را که کلید مصرف کننده با آنها مرتبط است بررسی می کند.
2. Edge هر محصول API را بررسی می کند تا ببیند آیا پراکسی API فعلی در محصول API گنجانده شده است یا خیر، و آیا مسیر منبع فعلی (مسیر URL) در محصول API فعال است یا خیر.
3. Edge همچنین تأیید می‌کند که کلید مصرف‌کننده منقضی یا باطل نشده است، بررسی می‌کند که برنامه لغو نشده باشد، و بررسی می‌کند که توسعه‌دهنده غیرفعال نیست.
4. اگر همه این موارد درست باشد - رمز منقضی نشده است (در صورت وجود)، کلید مصرف کننده معتبر و تایید شده است، برنامه تایید شده است، توسعه دهنده فعال است، پروکسی در محصول موجود است، و منبع در دسترس است. روی محصول -- تأیید اعتبار با موفقیت انجام شد.