Эта страница переведена с помощью Cloud Translation API.

ключи API

Вы просматриваете документацию Apigee Edge .
Перейдите к документации Apigee X. информация

Ключ API (известный в Apigee Edge как потребительский ключ ) — это строковое значение, передаваемое клиентским приложением вашим прокси-серверам API. Ключ однозначно идентифицирует клиентское приложение.

Проверка ключа API — это простейшая форма безопасности приложения, которую можно настроить для API. Клиентское приложение просто предоставляет ключ API вместе со своим запросом, затем Apigee Edge проверяет, находится ли ключ API в утвержденном состоянии для запрашиваемого ресурса. Внутренне ваши прокси используют политики для проверки подлинности ключа API.

Чтобы обеспечить такую простоту, вам потребуется выполнить небольшую настройку. Для поддержки ключей API вам необходимо:

Создайте продукт Apigee Edge API , объединяющий прокси-серверы API, которые вы хотите защитить с помощью ключа API.
Создайте приложение разработчика Apigee Edge , которое будет представлять разработчика клиентского приложения, чье приложение вы будете аутентифицировать.
При создании приложения разработчика вы указываете продукты API, к которым приложение разработчика будет иметь доступ и для которых ему необходимо будет предоставить ключ API.
К своим прокси (те, которые вы включили в свой продукт API) добавьте политики для проверки правильности входящего ключа API.

Учебное пособие «Защита API с помощью ключа API» — это быстрый способ научиться контролировать доступ к прокси-серверу API с помощью ключа API.

Пример. Рабочий образец прокси-сервера API, обеспечивающий проверку ключа API, доступен в примерах платформы API, доступных на Github. Вы можете использовать образец прокси-сервера API для защиты собственного API. Найдите прокси-сервер API в /sample-proxies/apikey . Измените конфигурацию TargetEndpoint, чтобы она указывала на ваш URL-адрес. Затем развернуть.

Как работают ключи API

В Apigee Edge ключ API называется потребительским ключом. Когда вы регистрируете приложения для разработчиков, Apigee Edge генерирует потребительский ключ и секрет. Apigee Edge сохраняет потребительский ключ для будущей проверки. Каждый потребительский ключ уникален в организации. Разработчик приложения встраивает потребительский ключ в клиентское приложение. Клиентское приложение должно предоставлять ключ потребителя для каждого запроса. Службы API проверяют ключ потребителя, прежде чем разрешить запрос приложения.

Шаги высокого уровня

Следующие шаги описывают, как ключи API используются Apigee Edge. Эти шаги также включают возможное наличие безопасности OAuth, поскольку она часто используется вместе с ключами API.

Создайте продукт API , включающий прокси-серверы API, которые должны быть защищены ключом API.
Вы регистрируете приложение разработчика в своей организации. При этом Apigee Edge генерирует потребительский ключ и потребительский секрет.
Свяжите приложение разработчика хотя бы с одним продуктом API . Это продукт, который связывает пути к ресурсам и прокси-серверы API с утверждением ключа.
Во время выполнения, когда клиентское приложение отправляет запрос к вашему API, клиентское приложение отправляет ключ потребителя при выполнении запроса . На практике потребительский ключ может быть передан либо явно, либо на него можно ссылаться неявно через токен OAuth:
- Когда API использует проверку ключа API (например, путем реализации политики VerifyAPIKey), клиентское приложение должно явно передать потребительский ключ.
- Когда API использует проверку токена OAuth, например, путем реализации политики OAuthV2, клиентское приложение должно передать токен, полученный из ключа потребителя.
Прокси-сервер API проверяет учетные данные запроса либо с помощью политики VerifyAPIKey, либо с помощью политики OAuthV2 с помощью операции VerifyAccessToken. Если вы не включите политику принудительного применения учетных данных в свой прокси-сервер API, любой вызывающий объект сможет успешно вызывать ваши API. Дополнительную информацию см. в разделе «Проверка политики ключей API» .

Проверка учетных данных запроса

Это обзор. Подробные сведения и примеры кода см. в разделе Настройка проверки ключа API .

Если вы используете проверку токена OAuth – вы внедрили политику OAuth для проверки, и клиентское приложение передало токен OAuth:
- Apigee Edge проверяет, не истек ли срок действия токена, а затем ищет потребительский ключ, который использовался для создания токена.
Если вы используете ключ API — вы реализовали политику VerifyAPIKey, и клиентское приложение передало свой потребительский ключ:
1. Apigee Edge проверяет список продуктов API, с которыми связан потребительский ключ.
2. Edge проверяет каждый продукт API, чтобы определить, включен ли текущий прокси-сервер API в продукт API и включен ли текущий путь к ресурсу (путь URL-адреса) в продукте API.
3. Edge также проверяет, что срок действия потребительского ключа не истек и не отозван, проверяет, что приложение не отозвано, и проверяет, что разработчик не является неактивным.
4. Если все это верно: срок действия токена не истек (если применимо), потребительский ключ действителен и одобрен, приложение одобрено, разработчик активен, прокси-сервер доступен в продукте и ресурс доступен. на продукте — проверка учетных данных прошла успешно.