API anahtarları

Apigee Edge belgelerini görüntülüyorsunuz.
Apigee X belgelerine gidin.
bilgi

API anahtarı (Apigee Edge'de tüketici anahtarı olarak bilinir), bir istemci uygulaması tarafından API proxy'lerinize geçirilen bir dize değeridir. Anahtar, istemci uygulamasını benzersiz bir şekilde tanımlar.

API anahtarı doğrulama, API için yapılandırabileceğiniz uygulama tabanlı güvenliğin en basit biçimidir. İstemci uygulaması, isteğiyle birlikte bir API anahtarı sunar. Ardından Apigee Edge, API anahtarının istenen kaynak için onaylanmış durumda olup olmadığını kontrol eder. Proxy'leriniz dahili olarak API anahtarı gerçekliğini doğrulamak için politikaları kullanır.

Bu basitliği desteklemek için birkaç ayar yapmanız gerekir. API anahtarlarını desteklemek için şunları yapmanız gerekir:

  • API anahtarını kullanarak korumak istediğiniz API proxy'lerini paketleyen bir Apigee Edge API ürünü oluşturun.
  • Uygulamasının kimliğini doğrulayacağınız istemci uygulaması geliştiricisini temsil eden bir Apigee Edge geliştirici uygulaması oluşturun.

    Geliştirici uygulamasını oluştururken, geliştiricinin uygulamasının erişebileceği ve API anahtarı sağlaması gereken API ürünlerini belirtirsiniz.

  • Proxy'lerinize (API ürününüze ekledikleriniz) gelen bir API anahtarının geçerli olduğunu doğrulamak için politikalar ekleyin.

API anahtarları isteyerek API'nin güvenliğini sağlama eğiticisi, API anahtarıyla API proxy'sine erişimi nasıl kontrol edeceğinizi öğrenmenin hızlı bir yoludur.

API anahtarları nasıl çalışır?

Apigee Edge'de API anahtarı tüketici anahtarı olarak adlandırılır. Geliştirici uygulamalarını kaydettiğinizde Apigee Edge bir tüketici anahtarı ve sırrı oluşturur. Apigee Edge, gelecekteki doğrulama için tüketici anahtarını saklar. Her tüketici anahtarı kuruluşta benzersizdir. Uygulama geliştirici, tüketici anahtarını istemci uygulamasına yerleştirir. İstemci uygulaması her istek için tüketici anahtarını sunmalıdır. API Hizmetleri, uygulamanın isteğine izin vermeden önce tüketici anahtarını doğrular.

Üst düzey adımlar

Aşağıdaki adımlarda, API anahtarlarının Apigee Edge tarafından nasıl kullanıldığı açıklanmaktadır. Genellikle API anahtarlarıyla birlikte kullanıldığından bu adımlar, OAuth güvenliğinin olası varlığını da içerir.

  1. API anahtarıyla korunması gereken API proxy'leri içeren bir API ürünü oluşturun.
  2. Kuruluşunuzda bir geliştirici uygulaması kaydederseniz. Bunu yaptığınızda Apigee Edge bir tüketici anahtarı ve tüketici sırrı oluşturur.
  3. Geliştirici uygulamasını en az bir API ürünüyle ilişkilendirin. Kaynak yollarını ve API proxy'lerini anahtar onayıyla ilişkilendiren üründür.
  4. Çalışma zamanında, istemci uygulaması API'nize istek gönderdiğinde istemci uygulaması, istekte bulunurken tüketici anahtarını gönderir. Pratikte, tüketici anahtarı açık bir şekilde iletilebilir veya bir OAuth jetonu aracılığıyla dolaylı olarak referans verilebilir:
    • API, API anahtarı doğrulamasını kullandığında (ör. bir VerificationAPIKey politikası uygulayarak) istemci uygulaması, tüketici anahtarını açıkça iletmelidir.
    • API, OAuth jeton doğrulamasını kullandığında (ör. bir OAuthV2 politikası uygulayarak) istemci uygulaması, tüketici anahtarından türetilmiş bir jetonu iletmelidir.
  5. API Proxy'si, isteği bir VerificationAPIKey politikası veya bir ValidAccessToken işlemiyle bir OAuthV2 politikası aracılığıyla doğrular. API Proxy'nize kimlik bilgisi zorunlu kılma politikası eklemezseniz herhangi bir arayan API'lerinizi başarılı bir şekilde çağırabilir. Daha fazla bilgi için API Anahtarı politikasını doğrulama konusuna bakın.

İstek kimlik bilgileri doğrulanıyor

Bu bir genel bakıştır. Ayrıntılar ve kod örnekleri için API anahtarı doğrulamasını ayarlama bölümüne bakın.

  1. OAuth jetonu doğrulamasını kullanıyorsanız: Doğrulamak için bir OAuth politikası uyguladıysanız ve istemci uygulaması bir OAuth jetonu ilettiyse:
    • Apigee Edge, jetonun süresinin dolmadığını doğrular ve ardından jetonu oluşturmak için kullanılan tüketici anahtarını arar.
  2. API anahtarı kullanıyorsanız DoğrulamaAPIKey politikası uyguladıysanız ve istemci uygulaması tüketici anahtarını ilettiyse:
    1. Apigee Edge, tüketici anahtarının ilişkilendirildiği API Ürünlerinin listesini kontrol eder.
    2. Edge, mevcut API Proxy'sinin API Ürünü'ne dahil olup olmadığını ve mevcut kaynak yolunun (url yolu) API Ürünü'nde etkinleştirilip etkinleştirilmediğini görmek için her API Ürününü kontrol eder.
    3. Edge, tüketici anahtarının süresinin dolmadığını veya iptal edilmediğini de doğrular, uygulamanın iptal edilmediğini kontrol eder ve geliştiricinin etkin olup olmadığını kontrol eder.
    4. Tüm bu durumlar doğruysa (varsa), jetonun süresi dolmamışsa, tüketici anahtarı geçerli ve onaylanmıştır, uygulama onaylanmıştır, geliştirici etkindir, proxy üründe mevcuttur ve kaynak üründe mevcuttursa kimlik bilgisi doğrulaması başarılı olur.