Przeglądasz dokumentację Apigee Edge.
Otwórz dokumentację Apigee X. Informacje
Klucz interfejsu API (nazywany w Apigee Edge jako klucz klienta) to ciąg znaków przekazywany przez aplikację kliencką do serwerów proxy interfejsu API. Klucz jednoznacznie identyfikuje aplikację kliencką.
Weryfikacja klucza interfejsu API to najprostsza forma zabezpieczeń aplikacji, którą możesz skonfigurować dla interfejsu API. Aplikacja kliencka prezentuje w żądaniu klucz interfejsu API, a następnie Apigee Edge sprawdza, czy klucz interfejsu API jest w stanie zatwierdzenia dla żądanego zasobu. Wewnętrznie Twoje serwery proxy używają zasad do weryfikowania autentyczności klucza interfejsu API.
Aby ułatwić sobie to zadanie, musisz nieco go skonfigurować. Aby obsługiwać klucze interfejsu API, musisz:
- Utwórz usługę Apigee Edge API obejmującą serwery proxy interfejsu API, które chcesz chronić za pomocą klucza interfejsu API.
-
Utwórz aplikację deweloperską Apigee Edge reprezentującą dewelopera aplikacji klienta, której aplikację będziesz uwierzytelniać.
Podczas tworzenia aplikacji dewelopera określasz usługi interfejsu API, do których aplikacja będzie mieć dostęp, i dla których musi ona podać klucz interfejsu API.
- Do serwerów proxy (tych uwzględnionych w usłudze API) dodaj zasady, aby sprawdzić, czy przychodzący klucz interfejsu API jest prawidłowy.
Samouczek zabezpieczania interfejsu API przez wymaganie kluczy interfejsu API pozwala szybko dowiedzieć się, jak kontrolować dostęp do serwera proxy interfejsu API za pomocą klucza interfejsu API.
Jak działają klucze interfejsu API
W Apigee Edge klucz interfejsu API jest nazywany kluczem klienta. Gdy rejestrujesz aplikacje programistów, Apigee Edge generuje klucz i tajny klucz klienta. Apigee Edge przechowuje klucz klienta na potrzeby przyszłej weryfikacji. Każdy klucz klienta jest unikalny w organizacji. Deweloper aplikacji umieszcza klucz klienta w aplikacji klienckiej. Aplikacja klienta musi przedstawiać klucz klienta w przypadku każdego żądania. Usługi API weryfikują klucz klienta przed zezwoleniem na żądanie aplikacji.
Ogólne kroki
Poniżej znajdziesz opis używania kluczy interfejsu API przez Apigee Edge. Te czynności obejmują też możliwy sposób zastosowania zabezpieczeń OAuth, ponieważ jest on często używany w połączeniu z kluczami interfejsu API.
- Utwórz usługę API zawierającą serwery proxy interfejsu API, które powinny być chronione za pomocą klucza interfejsu API.
- zarejestrujesz aplikację dewelopera w swojej organizacji, Gdy to zrobisz, Apigee Edge wygeneruje klucz klienta i tajny klucz klienta.
- Powiąż aplikację dewelopera z co najmniej jedną usługą API. To usługa, która wiąże ścieżki zasobów i serwery proxy interfejsu API z zatwierdzaniem klucza.
- Gdy w czasie działania aplikacja kliencka wysyła żądanie do interfejsu API, aplikacja kliencka wysyła klucz klienta przy wysyłaniu żądania. W praktyce klucz klienta może być przekazywany bezpośrednio lub pośrednio do odnoszenia się do niego za pomocą tokena OAuth:
- Gdy interfejs API korzysta z weryfikacji klucza interfejsu API – np. przez wdrożenie zasadyVerifyAPIKey – aplikacja kliencka musi wyraźnie przekazywać klucz klienta.
- Gdy interfejs API korzysta z weryfikacji tokena OAuth – np. przez wdrożenie zasady OAuthV2 – aplikacja kliencka musi przekazać token, który pochodzi z klucza klienta.
- Serwer proxy interfejsu API weryfikuje dane uwierzytelniające żądania za pomocą zasadyVerifyAPIKey lub zasady OAuthV2 z użyciem operacji VerificationAccessToken. Jeśli nie dodasz zasad wymuszania danych logowania w serwerze proxy interfejsu API, każdy element wywołujący będzie mógł wywołać Twoje interfejsy API. Więcej informacji znajdziesz w artykule Weryfikowanie klucza interfejsu API.
Weryfikuję dane uwierzytelniające żądania
To tylko ogólne informacje. Więcej informacji i przykłady kodu znajdziesz w sekcji Konfigurowanie weryfikacji klucza interfejsu API.
- Jeśli korzystasz z weryfikacji tokena OAuth, masz wdrożoną zasadę OAuth do weryfikacji, a aplikacja kliencka przeszła token OAuth:
- Apigee Edge sprawdzi, czy token nie wygasł, a następnie wyszukuje klucz klienta, który został użyty do wygenerowania tokena.
- Jeśli korzystasz z klucza interfejsu API – masz wdrożoną zasadę VerificationAPIKey, a aplikacja kliencka przekazała swój klucz klienta:
- Apigee Edge sprawdza listę usług API, z którymi powiązany był klucz klienta.
- Edge sprawdza każdą usługę API, aby sprawdzić, czy w usłudze API jest uwzględniony bieżący serwer proxy interfejsu API i czy w tej usłudze włączona jest bieżąca ścieżka zasobu (ścieżka adresu URL).
- Edge sprawdza też, czy klucz klienta nie wygasł ani nie został unieważniony, czy aplikacja nie została unieważniona i czy deweloper nie jest nieaktywny.
- Jeśli wszystkie te warunki są spełnione – token nie utracił ważności (jeśli dotyczy), klucz klienta jest prawidłowy i zatwierdzony, aplikacja została zatwierdzona, deweloper jest aktywny, serwer proxy jest dostępny w usłudze, a zasób jest w niej dostępny – weryfikacja danych logowania zakończy się powodzeniem.