इस पेज का अनुवाद Cloud Translation API से किया गया है.

एपीआई कुंजियां

Apigee Edge दस्तावेज़ देखा जा रहा है.
Apigee X दस्तावेज़ पर जाएं. जानकारी

एपीआई पासकोड को Apigee Edge में उपभोक्ता कुंजी के तौर पर जाना जाता है. यह एक स्ट्रिंग वैल्यू होती है जो क्लाइंट ऐप्लिकेशन से आपके एपीआई प्रॉक्सी को पास की जाती है. कुंजी खास तौर पर क्लाइंट ऐप्लिकेशन की पहचान करती है.

एपीआई पासकोड की पुष्टि करना, ऐप्लिकेशन आधारित सुरक्षा का आसान तरीका है. इसे एपीआई के लिए कॉन्फ़िगर किया जा सकता है. क्लाइंट ऐप्लिकेशन अपने अनुरोध के साथ सिर्फ़ एपीआई पासकोड दिखाता है. इसके बाद, Apigee Edge जांच करता है कि अनुरोध किए गए रिसॉर्स के लिए, एपीआई पासकोड स्वीकार किए गए स्टेटस में है या नहीं. अंदरूनी तौर पर, आपके प्रॉक्सी एपीआई पासकोड की प्रामाणिकता की पुष्टि करने के लिए नीतियों का इस्तेमाल करते हैं.

इस आसान काम के लिए, आपको कुछ सेटअप करना होगा. एपीआई कुंजियों के साथ काम करने के लिए, आपको ये काम करने होंगे:

Apigee Edge API से जुड़ा कोई प्रॉडक्ट बनाएं जो उन एपीआई प्रॉक्सी को बंडल करता हो जिन्हें आप एपीआई पासकोड का इस्तेमाल करके सुरक्षित करना चाहते हैं.
Apigee Edge डेवलपर ऐप्लिकेशन बनाएं, जो उस क्लाइंट ऐप्लिकेशन डेवलपर की जानकारी देता हो जिसकी पुष्टि की जाएगी.
डेवलपर ऐप्लिकेशन बनाने के दौरान, आपको ऐसे एपीआई प्रॉडक्ट तय करने होते हैं जिनका ऐक्सेस डेवलपर के ऐप्लिकेशन के पास होगा. साथ ही, इनके लिए एपीआई पासकोड देना ज़रूरी है.
अपने प्रॉक्सी (एपीआई प्रॉडक्ट में शामिल की गई नीतियां) के लिए, नीतियां जोड़ें, ताकि यह पुष्टि की जा सके कि एपीआई पासकोड मान्य है या नहीं.

एपीआई कुंजियों की मदद से एपीआई को सुरक्षित करें ट्यूटोरियल, एपीआई प्रॉक्सी के ऐक्सेस को एपीआई पासकोड से कंट्रोल करने का तरीका जानने का एक तेज़ तरीका है.

ध्यान दें: एपीआई कुंजियों से जुड़ी सुरक्षा की सुविधा सीमित है. एपीआई पासकोड आसानी से ऐप्लिकेशन कोड से निकाले जा सकते हैं और एपीआई को ऐक्सेस करने के लिए इनका इस्तेमाल किया जा सकता है. इसलिए, वे सुरक्षा टोकन के बजाय, यूनीक ऐप्लिकेशन आइडेंटिफ़ायर की तरह बेहतर काम करती हैं. अगर आपको सुरक्षा लागू करने का तरीका जानना है, तो OAuth होम देखना न भूलें.

सैंपल: एपीआई पासकोड की पुष्टि करने की प्रोसेस लागू करने वाला सैंपल एपीआई प्रॉक्सी, GitHub पर उपलब्ध एपीआई प्लैटफ़ॉर्म सैंपल में उपलब्ध है. अपने एपीआई को सुरक्षित करने के लिए, सैंपल एपीआई प्रॉक्सी का इस्तेमाल करें. /sample-proxies/apikey में मिले एपीआई प्रॉक्सी का पता लगाएं. अपने यूआरएल पर ले जाने के लिए, TargetEndpoint कॉन्फ़िगरेशन में बदलाव करें. इसके बाद, डिप्लॉय करें.

एपीआई कुंजियां कैसे काम करती हैं

Apigee Edge में, एपीआई पासकोड को उपभोक्ता कुंजी कहा जाता है. डेवलपर ऐप्लिकेशन रजिस्टर करने पर, Apigee Edge, एक उपभोक्ता कुंजी और सीक्रेट जनरेट करता है. Apigee Edge, आने वाले समय में पुष्टि करने के लिए उपभोक्ता कुंजी को सेव करता है. संगठन में हर ग्राहक कुंजी यूनीक होती है. ऐप्लिकेशन डेवलपर, क्लाइंट ऐप्लिकेशन में उपभोक्ता कुंजी को एम्बेड करता है. क्लाइंट ऐप्लिकेशन को हर अनुरोध के लिए, उपभोक्ता कुंजी प्रज़ेंट करनी होगी. ऐप्लिकेशन के अनुरोध की अनुमति देने से पहले, API सेवाएं उपभोक्ता कुंजी की पुष्टि करती हैं.

हाई-लेवल चरण

यहां बताया गया है कि Apigee Edge, एपीआई कुंजियों का इस्तेमाल कैसे करता है. इन चरणों में, OAuth सुरक्षा का संभावित रूप से मौजूद होना भी शामिल है. ऐसा इसलिए है, क्योंकि अक्सर इसका इस्तेमाल एपीआई कुंजियों के साथ किया जाता है.

एपीआई का ऐसा प्रॉडक्ट बनाएं जिसमें ऐसे एपीआई प्रॉक्सी शामिल हों जिन्हें एपीआई पासकोड से सुरक्षित किया जाना चाहिए.
आपने अपने संगठन में, डेवलपर ऐप्लिकेशन को रजिस्टर किया है. Apigee Edge से, उपभोक्ता के लिए कुंजी और ग्राहक की सीक्रेट कुंजी जनरेट हो जाती है.
डेवलपर ऐप्लिकेशन को कम से कम एक एपीआई प्रॉडक्ट से जोड़ें. यह एक ऐसा प्रॉडक्ट है जो संसाधन पाथ और एपीआई प्रॉक्सी को कुंजी की मंज़ूरी से जोड़ता है.
रनटाइम के दौरान, जब क्लाइंट ऐप्लिकेशन आपके एपीआई को कोई अनुरोध करता है, तो क्लाइंट ऐप्लिकेशन अनुरोध करते समय उपभोक्ता कुंजी भेजता है. व्यावहारिक तौर पर, उपभोक्ता कुंजी को या तो साफ़ तौर पर पास किया जा सकता है या इसे OAuth टोकन के ज़रिए किसी दूसरे तरीके से रेफ़र किया जा सकता है:
- जब एपीआई, एपीआई पासकोड की पुष्टि करने की सुविधा का इस्तेमाल करता है, जैसे कि पुष्टि करने वाली कुंजी की नीति लागू करके, क्लाइंट ऐप्लिकेशन को उपभोक्ता कुंजी को साफ़ तौर पर पास करना चाहिए.
- जब एपीआई, OAuth टोकन की पुष्टि करने के तरीके का इस्तेमाल करता है, जैसे कि OAuthV2 नीति लागू करके. क्लाइंट ऐप्लिकेशन को ऐसा टोकन पास करना ज़रूरी है जिसे उपभोक्ता कुंजी से लिया गया है.
एपीआई प्रॉक्सी, अनुरोध की पुष्टि करने के क्रेडेंशियल की पुष्टि करता है. इसके लिए, VerifyAPIKey की नीति या VerifyAccessToken कार्रवाई की मदद से, OAuthV2 नीति की मदद ली जाती है. अगर आप अपने एपीआई प्रॉक्सी में क्रेडेंशियल लागू करने से जुड़ी नीति शामिल नहीं करते, तो कोई भी कॉलर आपके एपीआई शुरू कर सकता है. ज़्यादा जानकारी के लिए, एपीआई पासकोड की नीति की पुष्टि करें देखें.

अनुरोध करने के क्रेडेंशियल की पुष्टि की जा रही है

यह एक खास जानकारी है. जानकारी और कोड के उदाहरणों के लिए, एपीआई पासकोड की पुष्टि करने की सुविधा सेट अप करना ज़रूर देखें.

अगर OAuth टोकन पुष्टि का इस्तेमाल किया जा रहा है, तो -- आपने पुष्टि करने के लिए OAuth नीति लागू की है और क्लाइंट ऐप्लिकेशन ने OAuth टोकन पास किया है:
- Apigee Edge पुष्टि करता है कि टोकन की समयसीमा खत्म नहीं हुई है. इसके बाद, वह उपभोक्ता कुंजी खोजता है जिसका इस्तेमाल टोकन को जनरेट करने के लिए किया गया था.
अगर एपीआई पासकोड का इस्तेमाल किया जा रहा है, तो आपने ConfirmAPIKey नीति लागू की है और क्लाइंट ऐप्लिकेशन ने उपभोक्ता कुंजी को पास कर दिया है:
1. Apigee Edge, उन एपीआई प्रॉडक्ट की सूची की जांच करता है जिनसे उपभोक्ता कुंजी जुड़ी है.
2. Edge हर एपीआई प्रॉडक्ट की जांच करता है, ताकि यह पता लगाया जा सके कि एपीआई प्रॉडक्ट में मौजूदा एपीआई प्रॉक्सी शामिल है या नहीं. साथ ही, यह भी देखता है कि एपीआई प्रॉडक्ट पर मौजूदा रिसॉर्स पाथ (यूआरएल पाथ) चालू है या नहीं.
3. Edge यह भी पुष्टि करता है कि उपभोक्ता कुंजी की समयसीमा खत्म नहीं हुई है या उसे वापस नहीं लिया गया है. साथ ही, यह जांच करता है कि ऐप्लिकेशन को रद्द तो नहीं किया गया है. साथ ही, यह जांच करता है कि डेवलपर ऐक्टिव नहीं है.
4. अगर ये सभी बातें सही हैं -- टोकन की समयसीमा खत्म नहीं हुई है (अगर लागू हो), तो उपभोक्ता कुंजी मान्य है और उसे मंज़ूरी मिली हुई है, ऐप्लिकेशन को मंज़ूरी मिली हुई है, डेवलपर सक्रिय है, प्रॉडक्ट में प्रॉक्सी उपलब्ध है, और प्रॉडक्ट पर संसाधन मौजूद है -- क्रेडेंशियल की पुष्टि हो जाती है.