Você está vendo a documentação do Apigee Edge.
Consulte a documentação do Apigee X.
O que você vai aprender
Neste tutorial, você aprenderá a:
- Criar um proxy de API que exija uma chave de API.
- Adicionar um produto de API.
- Adicionar um desenvolvedor e registrar um app.
- Chamar a API com uma chave de API.
É importante proteger a API contra acesso não autorizado. Uma maneira de fazer isso é com chaves de API (também chamadas de chaves públicas, chaves do consumidor ou chaves de apps).
Quando um app faz uma solicitação à sua API, ele precisa fornecer uma chave válida. No ambiente de execução, a política "Verificar chave de API" verifica se a chave fornecida:
- É válido
- Não foi revogada
- Corresponde à chave de API do produto de API que expõe os recursos solicitados
Se a chave for válida, a solicitação será permitida. Se a chave for inválida, a solicitação resultará em uma falha de autorização.
Neste tutorial, você criará um proxy de API que requer uma chave de API válida para acessá-lo.
O que é necessário
- Uma conta do Apigee Edge. Se você ainda não tiver uma, inscreva-se com as instruções em Como criar uma conta do Apigee Edge.
- Um navegador da Web para fazer uma chamada de API.
- (Para a seção de crédito extra, não é necessário) o cURL instalado na máquina para fazer chamadas de API a partir da linha de comando.
Criar o proxy de API
- Acesse https://apigee.com/edge e faça login.
Alterne para a organização desejada clicando no nome de usuário na parte superior da barra de navegação lateral para exibir o menu do perfil do usuário e selecionando a organização na lista.
-
Clique em Proxies de API na página de destino para exibir a lista de proxies de API.
- Clique em + Proxy.
- Na página Criar proxy, selecione Inverter proxy (mais comum).
- Na página Detalhes do proxy, configure o proxy da seguinte maneira:
Neste campo faça isso Nome do proxy Insira: helloworld_apikey
Caminho base do projeto Altere para:
/helloapikey
O caminho base do projeto faz parte do URL usado para fazer solicitações ao proxy de API.
Observação: para ver recomendações da Apigee sobre o controle de versões da API, consulte Controle de versão no e-book Design de API da Web: a parte que faltava.
Existing API Insira:
http://mocktarget.apigee.net
Isso define o URL de destino que o Apigee Edge invoca em uma solicitação ao proxy de API.
Descrição Insira: hello world protected by API key
- Clique em Próxima.
- Na página Políticas comuns, em Segurança: autorização, selecione Chave de API e clique em Avançar. Isso adicionará duas políticas ao proxy de API.
- Na página Virtual Hosts, selecione default e
secure e clique em Next. A seleção de default permite que você chame sua API com
http://
. A seleção de secure permite chamar a API comhttps://
. - Na página Resumo, verifique se o ambiente de implantação test está selecionado e clique em Create and deploy.
- Você verá uma confirmação de que o novo proxy de API e um produto de API foram criados e que o proxy de API foi implantado no ambiente de teste.
- Clique em Editar proxy para exibir a página Visão geral do proxy de API.
Ver as políticas
- No editor de proxy da API, clique na guia Desenvolver. Você verá que
duas políticas foram adicionadas ao fluxo de solicitação do proxy de API:
- Verificar chave de API: verifica a chamada de API para garantir que uma chave de API válida esteja presente (enviada como um parâmetro de consulta).
- Remover a API Query Par de parâmetros: uma política "AssignMessage" que remove a chave de API após a verificação para que ela não seja transmitida e exposta desnecessariamente.
-
Clique no ícone "Verificar política de chave de API" na visualização de fluxo e veja a configuração XML da política na visualização de código inferior. O elemento
<APIKey>
informa à política onde procurar a chave de API quando a chamada é feita. Por padrão, ele procura a chave como um parâmetro de consulta chamadoapikey
na solicitação HTTP:<APIKey ref="request.queryparam.apikey" />
O nome
apikey
é arbitrário e pode ser qualquer propriedade que contenha a chave de API.
Tentar chamar a API
Nesta etapa, você fará uma chamada de API bem-sucedida diretamente para o serviço de destino e, em seguida, fará uma chamada sem sucesso ao proxy de API para ver como ele está sendo protegido pelas políticas.
-
Sucesso
Em um navegador da Web, acesse o endereço a seguir. Este é o serviço de destino para o qual o proxy de API está configurado para encaminhar a solicitação, mas você o atingirá diretamente por enquanto:
http://mocktarget.apigee.net
Você receberá esta resposta bem-sucedida:
Hello, Guest!
-
Falha
Agora tente chamar seu proxy de API:
http://ORG_NAME-test.apigee.net/helloapikey
substituindo
ORG_NAME
pelo nome da sua organização do Edge.Sem a política "Verify API Key", essa chamada retornaria a mesma resposta da chamada anterior. No entanto, nesse caso, você receberá a seguinte resposta de erro:
{"fault":{"faultstring":"Failed to resolve API Key variable request.queryparam.apikey","detail":{"errorcode":"steps.oauth.v2.FailedToResolveAPIKey"}}}
o que significa, corretamente, que você não passou uma chave de API válida (como parâmetro de consulta).
Nas próximas etapas, você vai adicionar um produto de API.
Adicionar um produto de API.
Para adicionar um produto de API usando a IU da Apigee:
- Selecione Publicar > Produtos da API.
- Clique em +Produto da API.
Insira os Detalhes do produto do seu produto de API.
Campo Descrição Nome Nome interno do produto de API. Não especifique caracteres especiais no nome.
Observação: não é possível editar o nome depois de criar o produto da API. Por exemplo,helloworld_apikey-Product
.Nome de exibição Nome de exibição do produto de API. O nome de exibição é usado na IU e pode ser editado a qualquer momento. Se não for especificado, o valor do nome será usado. Esse campo é preenchido automaticamente usando o valor "Nome". É possível editar ou excluir o conteúdo. O nome de exibição pode incluir caracteres especiais. Por exemplo, helloworld_apikey-Product
.Descrição Descrição do produto de API. Por exemplo, Test product for tutorial
.Ambiente Ambientes em que o produto de API permitirá acesso. Por exemplo, test
ouprod
.Acesso Selecione Público. Aprovar automaticamente solicitações de acesso Ative a aprovação automática de solicitações de chaves para este produto de API de qualquer app. Cota Ignorar para este tutorial. Escopos do OAuth permitidos Ignorar para este tutorial. - Na seção de recursos da API, selecione o proxy de API que você acabou de criar. Por exemplo,
helloworld_apikey
. - Clique em Adicionar.
- Na seção Caminhos, adicione o caminho "/".
- Clique em Adicionar.
- Clique em Salvar.
Nas próximas etapas, você receberá a chave de API necessária.
Adicionar um desenvolvedor e app à sua organização
Em seguida, simularemos o fluxo de trabalho de um desenvolvedor se inscrevendo para usar suas APIs. Um desenvolvedor terá um ou mais apps que chamam suas APIs, e cada um deles receberá uma chave de API exclusiva. Isso proporciona a você, o provedor da API, controle mais granular sobre o acesso às suas APIs e relatórios mais detalhados sobre o tráfego da API por aplicativo.
Crie um desenvolvedor
Para criar um desenvolvedor:
- Selecione Publicar > Desenvolvedores no menu.
- Clique em + Desenvolvedor.
Digite o seguinte na janela "New Developer":
Neste campo digitar Nome Keyser
Sobrenome Soze
Username keyser
E-mail keyser@example.com
- Clique em Criar.
Registrar um aplicativo
Para registrar um app de desenvolvedor:
- Selecione Publicar > Apps.
- Clique em + App.
Digite o seguinte na janela New App:
pNeste campo faça isso Nome e nome de exibição Insira: keyser_app
Empresa / desenvolvedor Selecione: Developer
Desenvolvedor Selecione: Keyser Soze (keyser@example.com)
Callback URL e Observações Deixar em branco - Na seção Credenciais, selecione Nunca no menu Validade. As credenciais deste aplicativo nunca expirarão.
- Em Produtos, clique em Adicionar produto.
- Selecione helloworld_apikey-Product.
- Clique em Adicionar.
- Clique em Create acima e à direita da seção App Details para salvar seu trabalho.
Encontre a chave de API
Para acessar a chave de API, faça o seguinte:
- Na página Apps (Publicar > Apps), clique em keyser_app.
Na página keyser_app, clique em Mostrar ao lado de Chave na seção Credenciais. Na seção Produto, observe que a chave está associada a helloworld_apikey
.- Selecione e copie a chave. Ela será usada na próxima etapa.
Chamar a API com uma chave
Agora que você tem uma chave de API, pode usá-la para chamar o proxy de API. Digite o seguinte no seu navegador da Web: Substitua o nome da organização de Edge por ORG_NAME e a chave de API por API_KEY abaixo. Verifique se não há espaços extras no parâmetro de consulta.
http://ORG_NAME-test.apigee.net/helloapikey?apikey=API_KEY
Agora, ao chamar o proxy de API, você receberá esta resposta:
Hello, Guest!
Parabéns! Você criou um proxy de API e o protegeu exigindo que uma chave de API válida seja incluída na chamada.
Em geral, não é recomendado passar uma chave de API como um parâmetro de consulta. Considere transmitir no cabeçalho HTTP.
Prática recomendada: como transmitir a chave no cabeçalho HTTP
Nesta etapa, você modificará o proxy para procurar a chave de API em um cabeçalho chamado x-apikey
.
- Edite o proxy de API. Selecione Develop > Proxies de API > helloworld_apikey e acesse a visualização Develop.
-
Selecione a política Verificar API Key e modifique o XML da política para que a política procure no
header
em vez de noqueryparam
:<APIKey ref="request.header.x-apikey"/>
- Salve o proxy da API para implantar a alteração.
-
Faça a seguinte chamada de API usando cURL para transmitir a chave de API como um cabeçalho chamado
x-apikey
. Não se esqueça de substituir o nome da organização.curl -v -H "x-apikey: API_KEY" http://ORG_NAME-test.apigee.net/helloapikey
Observe que, para concluir a alteração por completo, também é necessário configurar a política "AssignMessage" para remover o cabeçalho em vez do parâmetro de consulta. Por exemplo:
<Remove> <Headers> <Header name="x-apikey"/> </Headers> </Remove>
Temas relacionados
Veja alguns tópicos diretamente relacionados a este tutorial:
- Gerenciar produtos de API
- Chaves de API
- Registrar desenvolvedores de apps
- Registrar apps e gerenciar chaves de API
- Política VerifyAPIKey
- Política "AssignMessage"
Indo mais fundo, proteger APIs com chaves de API é apenas uma parte da história. Muitas vezes, a proteção de APIs envolve mais segurança, como o OAuth.
O OAuth é um protocolo aberto que, em poucas palavras, troca credenciais (como nome de usuário e senha) por tokens de acesso. Os tokens de acesso são strings longas e aleatórias que podem ser transmitidas ao redor de um pipeline de mensagens, mesmo de app para app, sem comprometer as credenciais originais. Os tokens de acesso geralmente têm vida curta, então novos são sempre gerados.