Memverifikasi token akses

Halaman ini berlaku untuk Apigee dan Apigee hybrid.

Lihat Dokumentasi Apigee Edge.

Saat Anda memanggil proxy API di Apigee yang memiliki keamanan OAuth, Apigee bertanggung jawab untuk memverifikasi token akses. Anggaplah Apigee sebagai penjaga gerbang -- tidak ada panggilan API yang dapat melewatinya tidak memiliki token akses yang dapat diverifikasi.

Menambahkan kebijakan VerifyAccessToken

Untuk mengonfigurasi verifikasi token, tempatkan kebijakan OAuthV2 dengan VerifyAccessToken di bagian paling awal alur proxy API ( di bagian awal ProxyEndpoint). Jika ditempatkan di sana, token akses akan diverifikasi sebelum pemrosesan lain berlangsung, dan jika token ditolak, Apigee berhenti memproses dan mengembalikan {i>error<i} kembali ke klien.

Untuk mengakses halaman proxy API menggunakan UI Apigee:

  1. Buka UI Apigee.
  2. Pilih Develop > Proxy API di menu navigasi sebelah kiri.
  3. Dari daftar, pilih proxy yang ingin Anda lindungi.
  4. Di halaman ringkasan, klik tab Develop.
  5. Di Navigator, pilih PreFlow untuk endpoint yang tercantum di bagian Proxy Endpoint. Biasanya, endpoint yang Anda inginkan disebut "default", meskipun Anda dapat membuat beberapa endpoint proxy. Jika Anda memiliki beberapa {i>endpoint<i}, Anda mungkin ingin ikuti langkah-langkah ini untuk melakukan verifikasi token pada setiap token.

    Pilih PreFlow untuk endpoint yang tercantum di bagian Proxy Endpoints.
  6. Di editor alur proxy, klik + Langkah.

    Klik + Langkah.
  7. Pilih Policy Instance New.
  8. Dari daftar kebijakan, pilih OAuth v2.0.
  9. Anda juga dapat mengubah nama kebijakan dan nama tampilan. Misalnya, agar lebih mudah dibaca, Anda dapat mengubah nama tampilan dan nama keduanya menjadi "VerifyAccessToken".
  10. Klik Tambahkan.

Kebijakan default sudah dikonfigurasi dengan operasi VerifyAccessToken, sehingga Anda tidak harus melakukan apa pun:

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<OAuthV2 async="false" continueOnError="false" enabled="true" name="OAuth-v20-1">
    <DisplayName>OAuth v2.0 1</DisplayName>
    <FaultRules/>
    <Properties/>
    <Attributes/>
    <ExternalAuthorization>false</ExternalAuthorization>
    <Operation>VerifyAccessToken</Operation>
    <SupportedGrantTypes/>
    <GenerateResponse enabled="true"/>
    <Tokens/>
</OAuthV2>