این صفحه به‌وسیله ‏Cloud Translation API‏ ترجمه شده است.

امنیت آخرین مایل

شما در حال مشاهده اسناد Apigee Edge هستید.
به مستندات Apigee X بروید . اطلاعات

امنیت آخرین مایل از سرویس‌های باطنی که توسط سرویس‌های API پروکسی می‌شوند محافظت می‌کند. هدف اصلی امنیت آخرین مایل، جلوگیری از حملات به اصطلاح "پایان اجرا" است، جایی که توسعه‌دهنده برنامه URL یک سرویس پشتیبان را کشف می‌کند و هر پروکسی API را دور می‌زند تا مستقیماً به URL باطن ضربه بزند.

در زیر گزینه های اصلی برای راه اندازی امنیت آخرین مایل آمده است:

کلاینت TLS/SSL
احراز هویت خروجی
ماژول Node.js tls

کلاینت TLS/SSL

مکانیسم اصلی برای ایمن سازی آخرین مایل، کلاینت TLS/SSL است که به عنوان "احراز هویت متقابل" نیز شناخته می شود.

به پیکربندی TLS از Edge به باطن (Cloud و Private Cloud) مراجعه کنید.

احراز هویت خروجی

امنیت آخرین مایل را نیز می توان با الزام پراکسی API برای ارائه یک اعتبار به سرویس باطن اعمال کرد.

به عنوان مثال، ممکن است بخواهید یک پروکسی API یک کلید API را به سرویس باطن شما ارائه دهد. همچنین می‌توانید یک پروکسی API داشته باشید که رمز دسترسی به اعتبار مشتری OAuth را دریافت و ارائه کند.

کلید API

کلیدهای API را می‌توان برای درخواست‌های خروجی از پراکسی‌های API به خدمات باطنی اعمال کرد. این فرض را بر این می گذارد که سرویس Backend یک API است که قادر به صدور و اعتبارسنجی کلیدهای API است.

اگر یک پراکسی API را برای ارائه یک کلید API در درخواست های خروجی تنظیم می کنید، باید کلید API را در مکانی ذخیره کنید که در زمان اجرا توسط پراکسی API قابل بازیابی باشد. یکی از مکان‌های موجود برای ذخیره کلیدهای API، نقشه کلید/مقدار است. به خط مشی عملیات نقشه ارزش کلیدی مراجعه کنید.

می‌توانید از نوع خط‌مشی AssignMessage برای اضافه کردن کلید API به عنوان سرصفحه HTTP، پارامتر پرس و جو یا عنصر باربری به درخواست خروجی استفاده کنید. به تعیین خط مشی پیام مراجعه کنید.

اعتبار مشتری OAuth

اعتبار مشتری OAuth را می توان برای افزودن یک لایه قابلیت ابطال به کلیدهای API استفاده کرد. اگر سرویس‌های باطن شما از اعتبار مشتری OAuth پشتیبانی می‌کنند، می‌توانید یک پراکسی API را پیکربندی کنید تا برای هر درخواست یک نشانه دسترسی به اعتبار مشتری ارائه دهد.

پروکسی API باید به گونه‌ای پیکربندی شود که یک فراخوان برای به دست آوردن نشانه دسترسی از نقطه پایانی نشانه شما انجام دهد. پروکسی API همچنین برای جلوگیری از به دست آوردن رمز دسترسی جدید برای هر تماس، نیاز به ذخیره رمز دسترسی دارد.

تعدادی از رویکردها را می توان برای پیاده سازی اعتبار مشتری خروجی استفاده کرد.

شما می توانید این نمونه را تغییر دهید تا نقطه پایانی رمز خود را برای به دست آوردن یک نشانه دسترسی فراخوانی کند. این نمونه از جاوا اسکریپت برای پیوست کردن توکن به درخواست خروجی به عنوان یک هدر مجوز HTTP استفاده می کند. همچنین می توانید از خط مشی Assign Message برای این منظور استفاده کنید.

SAML

نوع خط مشی GenerateSAMLAssertion را می توان برای پیوست کردن یک ادعای SAML به یک پیام درخواست XML خروجی، از پروکسی API به یک سرویس پشتیبان، استفاده کرد. این سرویس باطن را قادر می‌سازد تا در درخواست‌های دریافت‌شده از پراکسی‌های API، احراز هویت و مجوز را انجام دهد.

به سیاست های SAML Assertion مراجعه کنید.

Node.js

اگر هدف پروکسی API شما یک برنامه Node.js است، می توانید از ماژول Node.js tls برای ایجاد اتصالات امن به سرویس های پشتیبان استفاده کنید. شما درخواست های خروجی را با ماژول tls به همان روشی که معمولاً در Node.js انجام می دهید، ارسال می کنید. اساساً، شما باید کلیدها و گواهی‌های سمت کلاینت (فایل‌های pem.) را به فهرست منابع/گره اضافه کنید و آنها را در اسکریپت خود بارگذاری کنید. برای اطلاعات در مورد استفاده از ماژول tls و روش های آن، به مستندات ماژول Node.js tls مراجعه کنید. برای اطلاعات بیشتر، درک پشتیبانی Edge برای ماژول‌های Node.js را ببینید.