इस पेज का अनुवाद Cloud Translation API से किया गया है.

एपीआई कुंजियां

Apigee Edge दस्तावेज़ देखा जा रहा है.
Apigee X दस्तावेज़ पर जाएं. जानकारी

एपीआई पासकोड एक स्ट्रिंग वैल्यू है, जिसे क्लाइंट ऐप्लिकेशन आपके एपीआई प्रॉक्सी को पास करता है. इसे Apigee Edge में, उपभोक्ता कुंजी के तौर पर जाना जाता है. कुंजी से क्लाइंट ऐप्लिकेशन की खास पहचान होती है.

एपीआई पासकोड की पुष्टि, ऐप्लिकेशन पर आधारित सुरक्षा का सबसे आसान तरीका है. इसे एपीआई के लिए कॉन्फ़िगर किया जा सकता है. क्लाइंट ऐप्लिकेशन सिर्फ़ अपने अनुरोध के साथ एक एपीआई पासकोड दिखाता है. इसके बाद, Apigee Edge यह जांच करता है कि अनुरोध किए गए संसाधन के लिए, एपीआई पासकोड स्वीकार की गई स्थिति में है या नहीं. अंदरूनी तौर पर, आपके प्रॉक्सी, एपीआई पासकोड की प्रामाणिकता की पुष्टि करने के लिए नीतियों का इस्तेमाल करते हैं.

इस आसानी का इस्तेमाल करने के लिए, आपको थोड़ा सेटअप करना होगा. एपीआई कुंजियों के साथ काम करने के लिए, आपको ये काम करने होंगे:

एक Apigee Edge API प्रॉडक्ट बनाएं जो उन एपीआई प्रॉक्सी को बंडल करता हो जिन्हें आप एपीआई पासकोड का इस्तेमाल करके सुरक्षित करना चाहते हैं.
एक Apigee Edge डेवलपर ऐप्लिकेशन बनाएं जो उस क्लाइंट ऐप्लिकेशन डेवलपर के बारे में बताता हो जिसके ऐप्लिकेशन की आपको पुष्टि करनी है.
डेवलपर ऐप्लिकेशन बनाने के दौरान, आपको उन एपीआई प्रॉडक्ट की जानकारी देनी होती है जिनका ऐक्सेस डेवलपर के ऐप्लिकेशन के पास होगा. साथ ही, इसके लिए आपको एपीआई पासकोड उपलब्ध कराना होगा.
अपने प्रॉक्सी (जिन्हें आपने अपने एपीआई प्रॉडक्ट में शामिल किया है) में नीतियां जोड़ें, ताकि यह पुष्टि की जा सके कि एपीआई पासकोड मान्य है या नहीं.

एपीआई पासकोड की ज़रूरत से एपीआई को सुरक्षित करना ट्यूटोरियल, एपीआई प्रॉक्सी के ऐक्सेस को एपीआई पासकोड से कंट्रोल करने का तेज़ तरीका है.

ध्यान दें: एपीआई कुंजियों से जुड़ी सुरक्षा सीमित है. एपीआई कुंजियों को ऐप्लिकेशन कोड से आसानी से निकाला जा सकता है और उनका इस्तेमाल एपीआई को ऐक्सेस करने के लिए किया जा सकता है. इसलिए, वे सुरक्षा टोकन के बजाय, यूनीक ऐप्लिकेशन आइडेंटिफ़ायर की तरह बेहतर काम करती हैं. अगर आपको सुरक्षा लागू करने का तरीका जानना है, तो OAuth का होम पेज ज़रूर देखें.

सैंपल: एपीआई पासकोड की पुष्टि करने वाली प्रोसेस को लागू करने वाला सैंपल एपीआई प्रॉक्सी, GitHub पर उपलब्ध एपीआई प्लैटफ़ॉर्म के सैंपल में उपलब्ध है. अपने एपीआई को सुरक्षित रखने के लिए, सैंपल एपीआई प्रॉक्सी का इस्तेमाल किया जा सकता है. /sample-proxies/apikey में मौजूद एपीआई प्रॉक्सी का पता लगाएं. अपने यूआरएल पर ले जाने के लिए, TargetEndpoint कॉन्फ़िगरेशन में बदलाव करें. इसके बाद, डिप्लॉय करें.

एपीआई कुंजियां कैसे काम करती हैं

Apigee Edge में, एपीआई कुंजी को उपभोक्ता कुंजी कहा जाता है. जब आप डेवलपर ऐप्लिकेशन रजिस्टर करते हैं, तो Apigee Edge एक उपभोक्ता कुंजी और सीक्रेट जनरेट करता है. Apigee Edge, आने वाले समय में पुष्टि करने के लिए, उपभोक्ता कुंजी सेव रखता है. संगठन में हर ग्राहक कुंजी अलग होती है. ऐप्लिकेशन डेवलपर, क्लाइंट ऐप्लिकेशन में उपभोक्ता कुंजी एम्बेड करता है. क्लाइंट ऐप्लिकेशन को हर अनुरोध के लिए, उपभोक्ता कुंजी दिखानी होगी. ऐप्लिकेशन के अनुरोध की अनुमति देने से पहले, API सेवाएं उपभोक्ता कुंजी की पुष्टि करती हैं.

अच्छी क्वालिटी के चरण

इन चरणों में बताया गया है कि Apigee Edge, एपीआई कुंजियों का इस्तेमाल कैसे करता है. इन चरणों में OAuth सुरक्षा का मौजूद होना भी शामिल है. ऐसा इसलिए होता है, क्योंकि आम तौर पर इसका इस्तेमाल एपीआई कुंजियों के साथ किया जाता है.

कोई एपीआई प्रॉडक्ट बनाएं, जिसमें ऐसी एपीआई प्रॉक्सी शामिल हों जिन्हें एपीआई पासकोड से सुरक्षित किया जाना चाहिए.
अपने संगठन में डेवलपर ऐप्लिकेशन को रजिस्टर करें. Apigee Edge इस्तेमाल करने पर, एक उपभोक्ता कुंजी और एक उपभोक्ता सीक्रेट जनरेट होता है.
डेवलपर ऐप्लिकेशन को कम से कम एक एपीआई प्रॉडक्ट से जोड़ें. यह ऐसा प्रॉडक्ट है जो कुंजी की मंज़ूरी के साथ, रिसॉर्स पाथ और एपीआई प्रॉक्सी को जोड़ता है.
रन टाइम के समय, जब क्लाइंट ऐप्लिकेशन आपके एपीआई से कोई अनुरोध करता है, तो क्लाइंट ऐप्लिकेशन अनुरोध करते समय उपभोक्ता कुंजी भेजता है. व्यावहारिक तौर पर, उपभोक्ता कुंजी को या तो साफ़ तौर पर पास किया जा सकता है या फिर उसे किसी OAuth टोकन के ज़रिए ज़ाहिर किया जा सकता है:
- जब एपीआई, एपीआई पासकोड की पुष्टि करने के तरीके का इस्तेमाल करता है, जैसे कि पुष्टि करने वाली कुंजी की नीति लागू करके, तो क्लाइंट ऐप्लिकेशन को उपभोक्ता कुंजी को साफ़ तौर पर पास करना होगा.
- जब एपीआई, OAuth टोकन की पुष्टि करने के तरीके का इस्तेमाल करता है, जैसे कि OAuthV2 नीति लागू करके - तब क्लाइंट ऐप्लिकेशन को ऐसा टोकन पास करना ज़रूरी है जिसे उपभोक्ता कुंजी से मिलकर दिखाया गया हो.
एपीआई प्रॉक्सी, अनुरोध के क्रेडेंशियल की पुष्टि करता है. इसके लिए, VerifyAPIKey नीति या पुष्टि करने के लिए इस्तेमाल किए जाने वाले OAuthV2 की नीति का इस्तेमाल किया जाता है. अगर आपने अपने एपीआई प्रॉक्सी में, क्रेडेंशियल लागू करने से जुड़ी नीति शामिल नहीं की है, तो कोई भी कॉलर आपके एपीआई को शुरू कर सकता है. ज़्यादा जानकारी के लिए, एपीआई पासकोड से जुड़ी नीति की पुष्टि करें देखें.

अनुरोध के क्रेडेंशियल की पुष्टि की जा रही है

यह एक खास जानकारी है. जानकारी और कोड के उदाहरणों के लिए, एपीआई पासकोड की पुष्टि करने की प्रक्रिया सेट अप करना देखना न भूलें.

अगर OAuth टोकन की पुष्टि करने की सुविधा का इस्तेमाल किया जा रहा है - आपने पुष्टि करने के लिए OAuth नीति लागू की है और क्लाइंट ऐप्लिकेशन ने OAuth टोकन पास किया है, तो:
- Apigee Edge पुष्टि करता है कि टोकन की समयसीमा खत्म नहीं हुई है. इसके बाद, वह उपभोक्ता कुंजी की जांच करता है जिसका इस्तेमाल टोकन को जनरेट करने के लिए किया गया था.
अगर एपीआई पासकोड का इस्तेमाल किया जा रहा है, तो आपने AdvertiserAPIKey की नीति लागू की है और क्लाइंट ऐप्लिकेशन ने उपभोक्ता कुंजी को पास कर लिया है:
1. Apigee Edge, उन एपीआई प्रॉडक्ट की सूची की जांच करता है जिनसे उपभोक्ता कुंजी जुड़ी है.
2. Edge हर एपीआई प्रॉडक्ट की जांच करता है. इससे यह पता चलता है कि एपीआई प्रॉडक्ट में मौजूदा एपीआई प्रॉक्सी शामिल है या नहीं. साथ ही, यह भी देखा जाता है कि एपीआई प्रॉडक्ट पर मौजूदा रिसॉर्स पाथ (यूआरएल पाथ) चालू है या नहीं.
3. Edge यह भी पुष्टि करता है कि उपभोक्ता कुंजी की समयसीमा खत्म न हुई हो या उसे वापस न ले लिया गया हो. साथ ही, यह जांच करता है कि ऐप्लिकेशन को वापस तो नहीं लिया गया है और न ही यह जांच करता है कि डेवलपर ऐक्टिव तो नहीं है.
4. अगर इन सभी बातों को ध्यान में रखा गया है, तो -- टोकन की समयसीमा खत्म नहीं हुई है (अगर लागू हो), उपभोक्ता कुंजी मान्य और स्वीकार की गई है, ऐप्लिकेशन को अनुमति मिली है, डेवलपर चालू है, प्रॉडक्ट में प्रॉक्सी उपलब्ध है, और प्रॉडक्ट पर संसाधन मौजूद है -- क्रेडेंशियल की पुष्टि हो जाती है.