คีย์ API

คุณกำลังดูเอกสารประกอบของ Apigee Edge
ไปที่เอกสารประกอบของ Apigee X ข้อมูล

คีย์ API (หรือที่รู้จักใน Apigee Edge คือคีย์ผู้บริโภค) คือค่าสตริงที่แอปไคลเอ็นต์ส่งผ่านไปยังพร็อกซี API คีย์จะระบุแอปไคลเอ็นต์โดยไม่ซ้ำกัน

การตรวจสอบคีย์ API เป็นรูปแบบการรักษาความปลอดภัยบนแอปที่ง่ายที่สุดซึ่งคุณกำหนดค่าสำหรับ API ได้ แอปไคลเอ็นต์เพียงแค่แสดงคีย์ API พร้อมกับคำขอ จากนั้น Apigee Edge จะตรวจสอบเพื่อดูว่าคีย์ API อยู่ในสถานะที่ได้รับอนุมัติสำหรับทรัพยากรที่ขอหรือไม่ ภายใน พร็อกซีจะใช้นโยบายเพื่อยืนยันความถูกต้องของคีย์ API

เพื่อที่จะรองรับความเรียบง่ายนี้ คุณจะต้องตั้งค่าสักเล็กน้อย หากต้องการรองรับคีย์ API คุณจะต้องทำดังนี้

  • สร้างผลิตภัณฑ์ Apigee Edge API ที่รวมพร็อกซี API ที่ต้องการปกป้องโดยใช้คีย์ API
  • สร้างแอปนักพัฒนาซอฟต์แวร์ Apigee Edge ที่เป็นตัวแทนของนักพัฒนาแอปไคลเอ็นต์ซึ่งคุณจะต้องตรวจสอบสิทธิ์แอป

    ในการสร้างแอปสำหรับนักพัฒนาซอฟต์แวร์ คุณต้องระบุผลิตภัณฑ์ API ที่แอปของนักพัฒนาแอป จะเข้าถึงได้ รวมทั้งที่แอปจะต้องระบุคีย์ API

  • ลงในพร็อกซี (รายการที่รวมอยู่ในผลิตภัณฑ์ API) ให้เพิ่มนโยบายเพื่อยืนยันว่าคีย์ API ขาเข้าถูกต้อง

บทแนะนำรักษาความปลอดภัย API โดยการใช้คีย์ API เป็นวิธีที่รวดเร็วในการเรียนรู้วิธีควบคุมการเข้าถึงพร็อกซี API ด้วยคีย์ API

วิธีการทำงานของคีย์ API

ใน Apigee Edge คีย์ API จะเรียกว่าคีย์ผู้ใช้ เมื่อคุณลงทะเบียนแอปสำหรับนักพัฒนาซอฟต์แวร์ Apigee Edge จะสร้างคีย์และข้อมูลลับของผู้บริโภค Apigee Edge จะจัดเก็บคีย์ผู้บริโภคไว้ตรวจสอบในอนาคต คีย์ผู้ใช้แต่ละรายการจะไม่ซ้ำกันในองค์กร นักพัฒนาแอปฝัง คีย์ผู้ใช้ลงในแอปไคลเอ็นต์ โดยแอปไคลเอ็นต์จะต้องนำเสนอคีย์ของผู้บริโภคสำหรับแต่ละคำขอ บริการ API จะยืนยันรหัสผู้ใช้ก่อนที่จะส่งคําขอของแอป

ขั้นตอนระดับสูง

ขั้นตอนต่อไปนี้อธิบายวิธีใช้คีย์ API ที่ Apigee Edge ขั้นตอนเหล่านี้รวมถึงการรักษาความปลอดภัย OAuth ด้วย เนื่องจากมักใช้ร่วมกับคีย์ API

  1. สร้างผลิตภัณฑ์ API ที่มีพร็อกซี API ที่ควรได้รับการป้องกันด้วยคีย์ API
  2. คุณลงทะเบียนแอปนักพัฒนาแอปในองค์กรได้ เมื่อคุณสร้าง Apigee Edge จะสร้างคีย์ผู้บริโภคและข้อมูลลับของผู้ใช้
  3. เชื่อมโยงแอปนักพัฒนาซอฟต์แวร์กับผลิตภัณฑ์ API อย่างน้อย 1 รายการ ซึ่งเป็นผลิตภัณฑ์ที่เชื่อมโยงเส้นทางทรัพยากรและพร็อกซี API กับการอนุมัติคีย์
  4. ขณะทำงาน เมื่อแอปไคลเอ็นต์ส่งคำขอไปยัง API ของคุณ แอปไคลเอ็นต์จะส่ง คีย์ผู้บริโภคเมื่อส่งคำขอ ในทางปฏิบัติ อาจมีการส่งคีย์ผู้บริโภคอย่างชัดเจนหรืออาจอ้างถึงโดยปริยายผ่านโทเค็น OAuth ดังนี้
    • เมื่อ API ใช้การยืนยันคีย์ API เช่น ด้วยการใช้นโยบาย ConfirmAPIKey แอปไคลเอ็นต์จะต้องส่งรหัสผู้ใช้อย่างชัดเจน
    • เมื่อ API ใช้การยืนยันโทเค็น OAuth เช่น ด้วยการใช้นโยบาย OAuthV2 แอปไคลเอ็นต์จะต้องส่งโทเค็นที่ได้มาจากคีย์ของผู้บริโภค
  5. พร็อกซี API จะตรวจสอบข้อมูลเข้าสู่ระบบของคำขอผ่านนโยบาย ConfirmAPIKey หรือนโยบาย OAuthV2 ที่มีการดำเนินการ ConfirmAccessToken หากคุณไม่ระบุนโยบายการบังคับใช้ข้อมูลเข้าสู่ระบบในพร็อกซี API ผู้โทรจะเรียกใช้ API ของคุณได้สำเร็จ ดูข้อมูลเพิ่มเติมได้ที่ยืนยันนโยบายคีย์ API

กำลังยืนยันข้อมูลเข้าสู่ระบบของคำขอ

นี่คือภาพรวม ดูรายละเอียดและตัวอย่างโค้ดได้ที่การตั้งค่าการตรวจสอบคีย์ API

  1. หากใช้การยืนยันโทเค็น OAuth แสดงว่าคุณใช้นโยบาย OAuth เพื่อยืนยัน และแอปไคลเอ็นต์ได้ผ่านโทเค็น OAuth แล้ว ให้ทำดังนี้
    • Apigee Edge จะตรวจสอบว่าโทเค็นยังไม่หมดอายุ จากนั้นค้นหาคีย์ผู้บริโภคที่ใช้สร้างโทเค็น
  2. หากใช้คีย์ API คุณใช้นโยบาย ConfirmAPIKey และแอปไคลเอ็นต์ส่งผ่านคีย์ผู้ใช้แล้ว
    1. Apigee Edge จะตรวจสอบรายการผลิตภัณฑ์ API ที่เชื่อมโยงกับคีย์ผู้ใช้
    2. Edge จะตรวจสอบผลิตภัณฑ์ API แต่ละรายการเพื่อดูว่ามีการรวมพร็อกซี API ปัจจุบันในผลิตภัณฑ์ API หรือไม่ และเปิดใช้เส้นทางทรัพยากรปัจจุบัน (เส้นทาง URL) ในผลิตภัณฑ์ API หรือไม่
    3. Edge ยังยืนยันว่าคีย์ผู้บริโภคยังไม่หมดอายุหรือถูกเพิกถอน แล้วตรวจสอบว่าไม่มีการเพิกถอนแอป และตรวจสอบว่านักพัฒนาแอปไม่ได้ทำงานอยู่หรือไม่
    4. หากทุกข้อที่กล่าวมาเป็นจริง นั่นคือโทเค็นยังไม่หมดอายุ (หากมี) คีย์ผู้บริโภคถูกต้องและได้รับอนุมัติ แอปได้รับอนุมัติ นักพัฒนาแอปทำงานอยู่ พร็อกซีพร้อมใช้งานในผลิตภัณฑ์ และมีทรัพยากรพร้อมใช้งานในผลิตภัณฑ์ - การยืนยันข้อมูลเข้าสู่ระบบสำเร็จ