Proteger uma API exigindo chaves de API

Você está vendo a documentação do Apigee Edge.
Consulte a documentação do Apigee X.

O que você vai aprender

Neste tutorial, você aprenderá a:

  • Criar um proxy de API que exija uma chave de API.
  • Adicionar um produto de API.
  • Adicionar um desenvolvedor e registrar um app.
  • Chamar a API com uma chave de API.

É importante proteger a API contra acesso não autorizado. Uma maneira de fazer isso é com chaves de API (também chamadas de chaves públicas, chaves do consumidor ou chaves de apps).

Quando um app faz uma solicitação à sua API, ele precisa fornecer uma chave válida. No ambiente de execução, a política "Verificar chave de API" verifica se a chave fornecida:

  • É válido
  • Não foi revogada
  • Corresponde à chave de API do produto de API que expõe os recursos solicitados

Se a chave for válida, a solicitação será permitida. Se a chave for inválida, a solicitação resultará em uma falha de autorização.

Neste tutorial, você criará um proxy de API que requer uma chave de API válida para acessá-lo.

O que é necessário

  • Uma conta do Apigee Edge. Se você ainda não tiver uma, inscreva-se com as instruções em Como criar uma conta do Apigee Edge.
  • Um navegador da Web para fazer uma chamada de API.
  • (Para a seção de crédito extra, não é necessário) o cURL instalado na máquina para fazer chamadas de API a partir da linha de comando.

Criar o proxy de API

Sobre o "mocktarget"

O serviço mocktarget está hospedado na Apigee e retorna dados simples. Ele não requer nenhuma chave de API nem um token de acesso. Na verdade, é possível acessá-lo em um navegador da Web. Para testar, clique no seguinte:

http://mocktarget.apigee.net

O destino retorna Hello, Guest!. Use o recurso /help para conseguir uma página de ajuda de outros recursos de API disponíveis.

  1. Acesse https://apigee.com/edge e faça login.

  2. Alterne para a organização desejada clicando no nome de usuário na parte superior da barra de navegação lateral para exibir o menu do perfil do usuário e selecionando a organização na lista.

    selecionar organização no menu do perfil do usuário

  3. Clique em Proxies de API na página de destino para exibir a lista de proxies de API.

    Menu das APIs do Edge
  4. Clique em + Proxy.
    Botão "Criar proxy"
  5. Na página Criar proxy, selecione Inverter proxy (mais comum).
  6. Na página Detalhes do proxy, configure o proxy da seguinte maneira:
    Neste campo faça isso
    Nome do proxy Insira: helloworld_apikey
    Caminho base do projeto

    Altere para: /helloapikey

    O caminho base do projeto faz parte do URL usado para fazer solicitações ao proxy de API.

    Observação: para ver recomendações da Apigee sobre o controle de versões da API, consulte Controle de versão no e-book Design de API da Web: a parte que faltava.
    Existing API

    Insira: http://mocktarget.apigee.net

    Isso define o URL de destino que o Apigee Edge invoca em uma solicitação ao proxy de API.
    Descrição Insira: hello world protected by API key
  7. Clique em Próxima.
  8. Na página Políticas comuns, em Segurança: autorização, selecione Chave de API e clique em Avançar. Isso adicionará duas políticas ao proxy de API.
  9. Na página Virtual Hosts, selecione default e secure e clique em Next. A seleção de default permite que você chame sua API com http://. A seleção de secure permite chamar a API com https://.
  10. Na página Resumo, verifique se o ambiente de implantação test está selecionado e clique em Create and deploy.
  11. Você verá uma confirmação de que o novo proxy de API e um produto de API foram criados e que o proxy de API foi implantado no ambiente de teste.
  12. Clique em Editar proxy para exibir a página Visão geral do proxy de API.

Ver as políticas

  1. No editor de proxy da API, clique na guia Desenvolver. Você verá que duas políticas foram adicionadas ao fluxo de solicitação do proxy de API:
    • Verificar chave de API: verifica a chamada de API para garantir que uma chave de API válida esteja presente (enviada como um parâmetro de consulta).
    • Remover a API Query Par de parâmetros: uma política "AssignMessage" que remove a chave de API após a verificação para que ela não seja transmitida e exposta desnecessariamente.

  2. Clique no ícone "Verificar política de chave de API" na visualização de fluxo e veja a configuração XML da política na visualização de código inferior. O elemento <APIKey> informa à política onde procurar a chave de API quando a chamada é feita. Por padrão, ele procura a chave como um parâmetro de consulta chamado apikey na solicitação HTTP:

    <APIKey ref="request.queryparam.apikey" />

    O nome apikey é arbitrário e pode ser qualquer propriedade que contenha a chave de API.

Tentar chamar a API

Nesta etapa, você fará uma chamada de API bem-sucedida diretamente para o serviço de destino e, em seguida, fará uma chamada sem sucesso ao proxy de API para ver como ele está sendo protegido pelas políticas.

  1. Sucesso

    Em um navegador da Web, acesse o endereço a seguir. Este é o serviço de destino para o qual o proxy de API está configurado para encaminhar a solicitação, mas você o atingirá diretamente por enquanto:

    http://mocktarget.apigee.net

    Você receberá esta resposta bem-sucedida: Hello, Guest!

  2. Falha

    Agora tente chamar seu proxy de API:

    http://ORG_NAME-test.apigee.net/helloapikey

    substituindo ORG_NAME pelo nome da sua organização do Edge.

    Sem a política "Verify API Key", essa chamada retornaria a mesma resposta da chamada anterior. No entanto, nesse caso, você receberá a seguinte resposta de erro:

    {"fault":{"faultstring":"Failed to resolve API Key variable request.queryparam.apikey","detail":{"errorcode":"steps.oauth.v2.FailedToResolveAPIKey"}}}

    o que significa, corretamente, que você não passou uma chave de API válida (como parâmetro de consulta).

Nas próximas etapas, você vai adicionar um produto de API.

Adicionar um produto de API.

Para adicionar um produto de API usando a IU da Apigee:

  1. Selecione Publicar > Produtos da API.
  2. Clique em +Produto da API.

  3. Insira os Detalhes do produto do seu produto de API.

    Campo Descrição
    Nome Nome interno do produto de API. Não especifique caracteres especiais no nome.
    Observação: não é possível editar o nome depois de criar o produto da API. Por exemplo, helloworld_apikey-Product.
    Nome de exibição Nome de exibição do produto de API. O nome de exibição é usado na IU e pode ser editado a qualquer momento. Se não for especificado, o valor do nome será usado. Esse campo é preenchido automaticamente usando o valor "Nome". É possível editar ou excluir o conteúdo. O nome de exibição pode incluir caracteres especiais. Por exemplo, helloworld_apikey-Product.
    Descrição Descrição do produto de API. Por exemplo, Test product for tutorial.
    Ambiente Ambientes em que o produto de API permitirá acesso. Por exemplo, test ou prod.
    Acesso Selecione Público.
    Aprovar automaticamente solicitações de acesso Ative a aprovação automática de solicitações de chaves para este produto de API de qualquer app.
    Cota Ignorar para este tutorial.
    Escopos do OAuth permitidos Ignorar para este tutorial.
  4. Na seção de recursos da API, selecione o proxy de API que você acabou de criar. Por exemplo, helloworld_apikey.
  5. Clique em Adicionar.
  6. Na seção Caminhos, adicione o caminho "/".
  7. Clique em Adicionar.
  8. Clique em Salvar.

Nas próximas etapas, você receberá a chave de API necessária.

Adicionar um desenvolvedor e app à sua organização

Em seguida, simularemos o fluxo de trabalho de um desenvolvedor se inscrevendo para usar suas APIs. Um desenvolvedor terá um ou mais apps que chamam suas APIs, e cada um deles receberá uma chave de API exclusiva. Isso proporciona a você, o provedor da API, controle mais granular sobre o acesso às suas APIs e relatórios mais detalhados sobre o tráfego da API por aplicativo.

Crie um desenvolvedor

Para criar um desenvolvedor:

  1. Selecione Publicar > Desenvolvedores no menu.
  2. Clique em + Desenvolvedor.

  3. Digite o seguinte na janela "New Developer":

    Neste campo digitar
    Nome Keyser
    Sobrenome Soze
    Username keyser
    E-mail keyser@example.com
  4. Clique em Criar.

Registrar um aplicativo

Para registrar um app de desenvolvedor:

  1. Selecione Publicar > Apps.
  2. Clique em + App.

  3. Digite o seguinte na janela New App:

    p
    Neste campo faça isso
    Nome e nome de exibição Insira: keyser_app
    Empresa / desenvolvedor Selecione: Developer
    Desenvolvedor Selecione: Keyser Soze (keyser@example.com)
    Callback URL e Observações Deixar em branco
  4. Na seção Credenciais, selecione Nunca no menu Validade. As credenciais deste aplicativo nunca expirarão.
  5. Em Produtos, clique em Adicionar produto.
  6. Selecione helloworld_apikey-Product.
  7. Clique em Adicionar.
  8. Clique em Create acima e à direita da seção App Details para salvar seu trabalho.

Encontre a chave de API

Para acessar a chave de API, faça o seguinte:

  1. Na página Apps (Publicar > Apps), clique em keyser_app.

  2. Na página keyser_app, clique em Mostrar ao lado de Chave na seção Credenciais. Na seção Produto, observe que a chave está associada a helloworld_apikey

    .
  3. Selecione e copie a chave. Ela será usada na próxima etapa.

Chamar a API com uma chave

Agora que você tem uma chave de API, pode usá-la para chamar o proxy de API. Digite o seguinte no seu navegador da Web: Substitua o nome da organização de Edge por ORG_NAME e a chave de API por API_KEY abaixo. Verifique se não há espaços extras no parâmetro de consulta.

http://ORG_NAME-test.apigee.net/helloapikey?apikey=API_KEY

Agora, ao chamar o proxy de API, você receberá esta resposta: Hello, Guest!

Parabéns! Você criou um proxy de API e o protegeu exigindo que uma chave de API válida seja incluída na chamada.

Em geral, não é recomendado passar uma chave de API como um parâmetro de consulta. Considere transmitir no cabeçalho HTTP.

Prática recomendada: como transmitir a chave no cabeçalho HTTP

Nesta etapa, você modificará o proxy para procurar a chave de API em um cabeçalho chamado x-apikey.

  1. Edite o proxy de API. Selecione Develop > Proxies de API > helloworld_apikey e acesse a visualização Develop.

  2. Selecione a política Verificar API Key e modifique o XML da política para que a política procure no header em vez de no queryparam:

    <APIKey ref="request.header.x-apikey"/>
  3. Salve o proxy da API para implantar a alteração.

  4. Faça a seguinte chamada de API usando cURL para transmitir a chave de API como um cabeçalho chamado x-apikey. Não se esqueça de substituir o nome da organização.

    curl -v -H "x-apikey: API_KEY" http://ORG_NAME-test.apigee.net/helloapikey

Observe que, para concluir a alteração por completo, também é necessário configurar a política "AssignMessage" para remover o cabeçalho em vez do parâmetro de consulta. Por exemplo:

<Remove>
<Headers>
    <Header name="x-apikey"/>
</Headers>
</Remove>

Temas relacionados

Veja alguns tópicos diretamente relacionados a este tutorial:

Indo mais fundo, proteger APIs com chaves de API é apenas uma parte da história. Muitas vezes, a proteção de APIs envolve mais segurança, como o OAuth.

O OAuth é um protocolo aberto que, em poucas palavras, troca credenciais (como nome de usuário e senha) por tokens de acesso. Os tokens de acesso são strings longas e aleatórias que podem ser transmitidas ao redor de um pipeline de mensagens, mesmo de app para app, sem comprometer as credenciais originais. Os tokens de acesso geralmente têm vida curta, então novos são sempre gerados.