Bạn đang xem tài liệu về Apigee Edge.
Chuyển đến tài liệu về
Apigee X. thông tin
Cơ chế bảo mật dặm cuối giúp bảo vệ các dịch vụ phụ trợ được Dịch vụ API xử lý qua máy chủ. Mục tiêu chính của việc bảo mật chặng cuối là ngăn chặn những cuộc tấn công gọi là "chạy cuối cùng", trong đó nhà phát triển ứng dụng phát hiện URL của một dịch vụ phụ trợ và bỏ qua mọi proxy API để truy cập trực tiếp vào URL phụ trợ.
Sau đây là các lựa chọn chính để thiết lập tính năng bảo mật chặng cuối:
- TLS/SSL ứng dụng
- Xác thực thư đi
- Mô-đun tls Node.js
TLS/SSL ứng dụng
Cơ chế chính để bảo mật chặng cuối cùng là TLS/SSL của ứng dụng, còn được gọi là "xác thực chung".
Xem bài viết Định cấu hình TLS từ Edge đến phần phụ trợ (Đám mây và Đám mây riêng tư).
Xác thực thư đi
Bạn cũng có thể thực thi biện pháp bảo mật dặm cuối bằng cách yêu cầu proxy API đưa ra thông tin xác thực cho dịch vụ phụ trợ.
Ví dụ: bạn có thể muốn một proxy API trình bày khoá API cho dịch vụ phụ trợ của mình. Bạn cũng có thể dùng proxy API để lấy và trình bày mã truy cập thông tin xác thực ứng dụng OAuth.
Khóa API
Bạn có thể áp dụng khoá API cho các yêu cầu gửi đi từ proxy API đến các dịch vụ phụ trợ. Điều này giả định rằng dịch vụ phụ trợ là một API có khả năng tạo và xác thực các khoá API.
Nếu đã thiết lập proxy API để trình bày khoá API trong các yêu cầu gửi đi, bạn phải lưu trữ khoá API ở nơi mà proxy API có thể truy xuất khoá trong thời gian chạy. Một vị trí có sẵn để lưu trữ khoá API là bản đồ khoá/giá trị. Xem Chính sách về hoạt động đối với bản đồ giá trị chính.
Bạn có thể sử dụng loại chính sách composeMessage để thêm khóa API làm tiêu đề HTTP, tham số truy vấn hoặc phần tử tải trọng vào yêu cầu gửi đi. Xem Chính sách về việc Chỉ định tin nhắn.
Thông tin xác thực OAuth của ứng dụng
Bạn có thể dùng thông tin xác thực OAuth của ứng dụng để thêm một lớp khả năng thu hồi vào các khoá API. Nếu các dịch vụ phụ trợ của bạn hỗ trợ thông tin đăng nhập ứng dụng OAuth, bạn có thể định cấu hình proxy API để hiển thị mã truy cập thông tin đăng nhập ứng dụng cho mỗi yêu cầu.
Bạn phải định cấu hình proxy API để thực hiện việc chú thích nhằm lấy mã truy cập từ điểm cuối của mã thông báo. Proxy API cũng cần phải lưu mã truy cập vào bộ nhớ đệm nhằm ngăn nhận mã truy cập mới cho mỗi lệnh gọi.
Bạn có thể sử dụng một số phương pháp để triển khai thông tin xác thực khách hàng đầu ra.
Bạn có thể sửa đổi mẫu này để gọi điểm cuối của mã thông báo để lấy mã truy cập. Mẫu này sử dụng JavaScript để đính kèm mã thông báo vào yêu cầu gửi đi dưới dạng tiêu đề Ủy quyền HTTP. Bạn cũng có thể dùng Chính sách chỉ định thông báo cho mục đích này.
SAML
Bạn có thể dùng loại chính sách Tạo SAMLAssertion để đính kèm câu nhận định SAML vào thông báo yêu cầu XML gửi đi, từ proxy API đến dịch vụ phụ trợ. Điều này cho phép dịch vụ phụ trợ thực hiện việc xác thực và uỷ quyền đối với các yêu cầu nhận được từ proxy API.
Node.js
Nếu mục tiêu proxy API của bạn là một ứng dụng Node.js, thì bạn có thể dùng mô-đun tls
Node.js để tạo kết nối an toàn đến các dịch vụ
phụ trợ. Bạn thực hiện các yêu cầu gửi đi bằng mô-đun tls
giống như cách bạn thường thực hiện trong Node.js. Về cơ bản, bạn cần thêm khoá và chứng chỉ phía máy khách (tệp .pem) vào thư mục tài nguyên/nút và tải chúng bên trong tập lệnh của bạn. Để biết thông tin về cách sử dụng mô-đun tls
và các phương thức của mô-đun đó, hãy xem tài liệu về mô-đun Node.js tls. Để biết thêm thông tin, hãy xem bài viết Tìm hiểu tính năng hỗ trợ Edge cho các mô-đun Node.js.