Memverifikasi token akses

Anda sedang melihat dokumentasi Apigee Edge.
Buka dokumentasi Apigee X. info

Saat Anda memanggil proxy API di Apigee Edge yang memiliki keamanan OAuth, Edge bertanggung jawab untuk memverifikasi token akses. Bayangkan Edge sebagai gatekeeper. Tidak ada panggilan API yang dapat melewatinya jika tidak memiliki token akses yang dapat diverifikasi.

Menambahkan kebijakan VerifyAccessToken

Untuk mengonfigurasi verifikasi token, tempatkan kebijakan OAuthV2 dengan operasi VerifyAccessToken di awal alur proxy API (awal dari Preflow ProxyEndpoint). Jika ditempatkan di sana, token akses akan diverifikasi sebelum pemrosesan lainnya dilakukan, dan jika token ditolak, Edge akan berhenti memproses dan menampilkan error kembali ke klien.

  1. Akses halaman proxy API, seperti yang dijelaskan di bawah.

    Edge

    Untuk mengakses halaman proxy API menggunakan Edge UI:

    1. Login ke apigee.com/edge.
    2. Pilih Develop > API Proxies di menu navigasi sebelah kiri.

    Edge Klasik (Private Cloud)

    Untuk mengakses halaman proxy API menggunakan UI Edge Klasik:

    1. Login ke http://ms-ip:9000, dengan ms-ip yang merupakan alamat IP atau nama DNS node Server Pengelolaan.
    2. Pilih APIs > API Proxy di menu navigasi atas.
  2. Dari daftar tersebut, pilih proxy yang ingin dilindungi.
  3. Di halaman overview, klik tab Develop.
  4. Di Navigator, pilih PreFlow untuk endpoint yang tercantum di bagian Proxy Endpoints. Biasanya, endpoint yang Anda inginkan disebut "default", meskipun Anda dapat membuat beberapa endpoint proxy. Jika Anda memiliki beberapa endpoint, sebaiknya ikuti langkah-langkah ini untuk melakukan verifikasi token di setiap endpoint.


  5. Di editor flow proxy, klik + Step.


  6. Pilih Policy Instance New.
  7. Dari daftar kebijakan, pilih OAuth v2.0.
  8. Atau, ubah nama kebijakan dan nama tampilan. Misalnya, agar lebih mudah dibaca, Anda dapat mengubah nama tampilan dan nama menjadi "VerifyAccessToken".
  9. Klik Tambahkan.

Kebijakan default sudah dikonfigurasi dengan operasi VerifyAccessToken, sehingga Anda tidak perlu melakukan tindakan apa pun:

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<OAuthV2 async="false" continueOnError="false" enabled="true" name="OAuth-v20-1">
    <DisplayName>OAuth v2.0 1</DisplayName>
    <FaultRules/>
    <Properties/>
    <Attributes/>
    <ExternalAuthorization>false</ExternalAuthorization>
    <Operation>VerifyAccessToken</Operation>
    <SupportedGrantTypes/>
    <GenerateResponse enabled="true"/>
    <Tokens/>
</OAuthV2>