Bạn đang xem tài liệu về Apigee Edge.
Chuyển đến tài liệu về
Apigee X. thông tin
Bảo mật cuối cùng bảo vệ các dịch vụ phụ trợ được Dịch vụ API làm proxy. Mục tiêu chính của tính năng bảo mật cuối cùng là ngăn chặn các cuộc tấn công được gọi là "chuyển tiếp cuối", trong đó nhà phát triển ứng dụng phát hiện URL của một dịch vụ phụ trợ và bỏ qua mọi proxy API để trực tiếp truy cập vào URL phụ trợ.
Sau đây là các lựa chọn chính để thiết lập tính năng bảo mật cuối cùng:
- TLS/SSL của ứng dụng
- Xác thực đi
- Mô-đun tls của Node.js
TLS/SSL của ứng dụng
Cơ chế chính để bảo mật chặng cuối là TLS/SSL của máy khách, còn gọi là "xác thực lẫn nhau".
Xem phần Định cấu hình TLS từ Edge đến phần phụ trợ (Đám mây và Đám mây riêng).
Xác thực đi
Bạn cũng có thể thực thi biện pháp bảo mật cuối cùng bằng cách yêu cầu proxy API cung cấp thông tin xác thực cho dịch vụ phụ trợ.
Ví dụ: bạn có thể muốn proxy API hiển thị khoá API cho dịch vụ phụ trợ. Bạn cũng có thể yêu cầu một proxy API lấy và hiển thị mã truy cập thông tin xác thực của ứng dụng OAuth.
Khóa API
Bạn có thể áp dụng khoá API cho các yêu cầu đi từ proxy API đến dịch vụ phụ trợ. Điều này giả định rằng dịch vụ phụ trợ là một API có khả năng phát hành và xác thực khoá API.
Nếu thiết lập proxy API để hiển thị khoá API trên các yêu cầu đi ra, bạn phải lưu trữ khoá API ở nơi proxy API có thể truy xuất khoá đó trong thời gian chạy. Một vị trí có sẵn để lưu trữ khoá API là bản đồ khoá/giá trị. Xem Chính sách về thao tác liên kết khoá-giá trị.
Bạn có thể sử dụng loại chính sách AssignMessage để thêm khoá API dưới dạng tiêu đề HTTP, tham số truy vấn hoặc phần tử tải trọng vào yêu cầu gửi đi. Xem Chính sách về việc chỉ định thư.
Thông tin xác thực ứng dụng OAuth
Bạn có thể dùng thông tin xác thực ứng dụng OAuth để thêm một lớp có thể thu hồi vào khoá API. Nếu các dịch vụ phụ trợ của bạn hỗ trợ thông tin xác thực ứng dụng OAuth, bạn có thể định cấu hình một proxy API để hiển thị mã thông báo truy cập thông tin xác thực ứng dụng cho mỗi yêu cầu.
Bạn phải định cấu hình proxy API để thực hiện lệnh gọi để lấy mã thông báo truy cập từ điểm cuối mã thông báo. Proxy API cũng cần lưu mã thông báo truy cập vào bộ nhớ đệm để ngăn proxy lấy mã thông báo truy cập mới cho mỗi lệnh gọi.
Bạn có thể sử dụng một số phương pháp để triển khai thông tin xác thực máy khách đi.
Bạn có thể sửa đổi mẫu này để gọi điểm cuối mã thông báo nhằm lấy mã thông báo truy cập. Mẫu này sử dụng JavaScript để đính kèm mã thông báo vào yêu cầu đi dưới dạng tiêu đề Uỷ quyền HTTP. Bạn cũng có thể sử dụng chính sách Gán thông báo cho mục đích này.
SAML
Bạn có thể sử dụng loại chính sách GenerateSAMLAssertion để đính kèm một câu nhận định SAML vào một thông báo yêu cầu XML đi từ proxy API đến một dịch vụ phụ trợ. Điều này cho phép dịch vụ phụ trợ thực hiện xác thực và uỷ quyền đối với các yêu cầu nhận được từ proxy API.
Xem chính sách về Xác nhận bằng SAML.
Node.js
Nếu mục tiêu proxy API là một ứng dụng Node.js, bạn có thể sử dụng mô-đun tls của Node.js để tạo các kết nối bảo mật với các dịch vụ phụ trợ. Bạn tạo các yêu cầu gửi đi bằng mô-đun tls theo cách tương tự như cách bạn thường làm trong Node.js. Về cơ bản, bạn cần thêm khoá và chứng chỉ phía máy khách (tệp .pem) vào thư mục tài nguyên/nút và tải các khoá và chứng chỉ đó vào tập lệnh. Để biết thông tin về cách sử dụng mô-đun tls và các phương thức của mô-đun này, hãy xem tài liệu về mô-đun tls của Node.js. Để biết thêm thông tin, hãy xem phần Tìm hiểu tính năng hỗ trợ Edge cho các mô-đun Node.js.