Pengantar produk API

Halaman ini berlaku untuk Apigee dan Apigee hybrid.

Lihat Dokumentasi Apigee Edge.

Bagian berikut ini akan memperkenalkan produk API dan konsep terkait seperti kuota dan Kunci API.

Apa yang dimaksud dengan produk API?

Sebagai penyedia API, Anda membuat produk API untuk memaketkan API dan menyediakannya untuk aplikasi developer untuk konsumsi. Anda dapat menganggap produk API sebagai lini produk Anda.

Secara khusus, produk API menggabungkan satu atau beberapa operasi. Sebuah operasi menentukan proxy API dan jalur resource yang dapat diakses di proxy tersebut. Sebuah operasi juga dapat membatasi akses dengan metode HTTP dan kuota.

Produk API adalah mekanisme utama untuk kontrol akses ke API Anda. Dengan menentukan satu atau beberapa produk API di aplikasi developer, Anda dapat membatasi akses ke proxy dengan kunci API. Di Apigee, kunci API disediakan, bukan untuk API itu sendiri, tetapi untuk produk API. Dengan kata lain, kunci API disediakan untuk paket operasi yang menentukan lini produk atau paket layanan tertentu.

Kasus penggunaan umum

Anda dapat membuat beberapa produk API yang berisi operasi untuk menangani kasus penggunaan tertentu. Misalnya, Anda dapat membuat produk API yang menggabungkan sejumlah operasi yang berisi memetakan sumber daya untuk memungkinkan pengembang mengintegrasikan peta ke dalam aplikasi mereka dengan mudah.

Selain itu, Anda dapat menggunakan produk API untuk menentukan kriteria berdasarkan tingkat harga seperti:

Jumlah permintaan:

  • Premium: Permintaan tak terbatas per hari
  • Dasar: Hingga 1.000 permintaan per hari
  • Gratis: Hingga 100 permintaan per hari

Atau tingkat akses:

  • Premium: Baca, tulis, perbarui, dan hapus
  • Dasar: Membaca dan mengupdate
  • Gratis: Hanya baca

Atau kombinasi apa pun dari hal di atas:

  • Premium Tambahan: Baca dan tulis sebanyak mungkin per hari
  • Premium: Baca dan tulis hingga 1000 permintaan per hari
  • Dasar: Akses baca dan tulis hingga 100 kali per hari
  • Gratis: Baca hingga 1000 kali per hari
  • Gratis: Akses hanya baca dibatasi hingga 100 permintaan per hari

Persyaratan

Produk API yang merupakan bagian dari Bayar sesuai penggunaan harus menyertakan:

Operasi

Operasi adalah grup atribut yang membatasi akses ke satu atau beberapa proxy API berdasarkan pada kriteria seperti jalur resource, metode HTTP, dan kuota. Sebuah operasi menyertakan atribut berikut:

Atribut Wajib? Deskripsi
Proxy API Wajib Setiap grup operasi harus menetapkan proxy API. Hanya satu proxy yang diizinkan per operasi ras.
Layanan Jarak Jauh Tergantung Hanya diperlukan jika Anda menginstal dan berencana menggunakan Adaptor Apigee untuk Envoy.
Jalur resource Wajib Setiap grup operasi harus menentukan satu atau beberapa jalur resource. Jalur resource dalam operasi membatasi sumber daya khusus akses pada proxy API. (Jalur resource adalah bagian dari URL permintaan proxy API yang muncul setelah jalur dasar proxy.)
Metode HTTP Opsional Anda juga dapat membatasi akses ke proxy dengan metode HTTP. Misalnya, jika Anda menentukan GET dan metode POST untuk grup operasi, maka hanya HTTP GET dan Permintaan POST dapat mengakses proxy untuk jalur resource yang ditentukan. Jika tidak ada metode ditetapkan, maka semua metode diizinkan.
Kuota Opsional Anda dapat menentukan kuota untuk grup operasi. Kuota yang ditentukan dalam grup operasi lebih diprioritaskan daripada kuota tingkat produk API, jika ditentukan.
Atribut khusus Opsional Atribut khusus berguna untuk metrik, pemantauan, atau kasus yang ingin Anda simpan informasi tambahan dengan produk API yang dapat diakses atau diambil nanti. Khusus yang terkait dengan operasi tersedia selain API khusus tingkat produk dan dapat diakses dalam runtime sebagai variabel flow dengan awalan apiproduct.operation.attributes.

Kunci API

Saat mendaftarkan aplikasi developer di organisasi Anda, aplikasi tersebut harus dikaitkan dengan di setidaknya satu produk API. Berkat penyambungan aplikasi dengan satu atau beberapa produk API, Apigee menetapkan kunci konsumen yang unik ke aplikasi. Lihat juga Mengontrol akses ke API Anda dengan mendaftarkan aplikasi.

Kunci konsumen atau token akses berfungsi sebagai kredensial permintaan. Pengembang aplikasi menyematkan kunci konsumen ke dalam aplikasi, sehingga saat aplikasi membuat permintaan ke API yang dihosting oleh Apigee, aplikasi meneruskan kunci konsumen dalam permintaan dengan salah satu cara berikut:

  • Saat API menggunakan verifikasi kunci API, aplikasi harus meneruskan kunci konsumen secara langsung.
  • Saat API menggunakan verifikasi Token OAuth, aplikasi harus meneruskan token yang telah diperoleh dari kunci konsumen.

Penerapan kunci API tidak terjadi secara otomatis. Apakah menggunakan kunci konsumen atau token OAuth sebagai kredensial permintaan, proxy API memvalidasi kredensial permintaan di proxy API Anda dengan menyertakan kebijakan VerifyAPIKey atau konfigurasi kebijakan VerifyAccessToken (lihat kebijakan OAuthv2) di alur yang sesuai. Jika Anda tidak menyertakan penerapan kredensial di Proxy API Anda, pemanggil apa pun dapat memanggil API Anda.

Untuk memverifikasi kredensial yang diteruskan dalam permintaan, Apigee melakukan langkah-langkah berikut:

  1. Dapatkan kredensial yang diteruskan dengan permintaan. Dalam kasus verifikasi token OAuth, Apigee memverifikasi bahwa masa berlaku token belum berakhir, lalu mencari kunci konsumen yang digunakan untuk membuat token.
  2. Ambil daftar produk API yang telah dikaitkan dengan kunci konsumen.
  3. Konfirmasi bahwa Proxy API saat ini disertakan dalam Produk API, jika jalur resource saat ini (Jalur URL) diaktifkan pada Produk API dan, jika disertakan dalam produk, yang digunakan permintaan kata kerja HTTP tertentu.
  4. Verifikasi bahwa kuota, jika yang ditentukan belum terlampaui.
  5. Verifikasi bahwa kunci konsumen tidak kedaluwarsa atau dicabut, periksa apakah aplikasi tidak dicabut, dan memeriksa apakah developer aplikasi aktif.

Jika semua pemeriksaan di atas lulus, verifikasi kredensial akan berhasil.

Intinya, Apigee secara otomatis membuat kunci konsumen, tetapi penerbit API harus menerapkannya pemeriksaan kunci di proxy API dengan menggunakan kebijakan yang sesuai.

Persetujuan kunci

Secara default, semua permintaan untuk mendapatkan kunci guna mengakses produk API dari aplikasi akan otomatis disetujui. Atau, Anda dapat mengonfigurasi produk API sehingga Anda harus menyetujui kunci secara manual. Pengaturan untuk ini dijelaskan di Mengelola produk API. Dalam hal ini, Anda harus menyetujui permintaan kunci dari aplikasi apa pun yang menambahkan produk API. Sebagai informasi selengkapnya, lihat Kontrol akses ke API Anda dengan mendaftarkan aplikasi.

Kuota

Kuota dapat melindungi server backend Anda dari varian traffic tinggi dan membedakan lini produk Anda. Misalnya, Anda dapat memaketkan resource dengan kuota tinggi sebagai produk premium, dan menggunakan paket yang sama dengan kuota lebih rendah sebagai produk dasar. Kuota dapat membantu melindungi server kewalahan jika suatu produk sedang populer dan menerima banyak permintaan dalam waktu singkat.

Anda dapat menentukan kuota yang berlaku untuk semua proxy API yang disertakan dengan produk API, atau menentukan kuota tingkat operasi. Kuota yang ditentukan dalam operasi lebih diprioritaskan daripada kuota kuota yang ditetapkan pada level produk API.

Menetapkan batas kuota pada produk API tidak memberlakukan kuota secara otomatis. Ini hanya batas default yang dapat dirujuk dalam kebijakan kuota. Berikut beberapa keuntungan menetapkan kuota pada produk untuk menjadi referensi kebijakan kuota:

  • Gunakan Kebijakan kuota untuk menerapkan setelan seragam di semua proxy API dalam produk API.
  • Jika Anda mengubah setelan kuota produk API saat runtime, kebijakan Kuota akan otomatis merujuk ke setelan kuota yang diperbarui.

Untuk informasi selengkapnya, lihat referensi berikut:

Cakupan OAuth

Anda dapat menentukan cakupan OAuth sebagai daftar yang dipisahkan koma yang harus ada dalam token akses yang terkait dengan produk. Untuk mengetahui informasi selengkapnya tentang penggunaan cakupan dengan Apigee OAuth kebijakan, lihat Bekerja dengan Cakupan OAuth2 yang sama.

Tingkat akses

Saat menentukan produk API, Anda dapat menetapkan tingkat akses berikut:

Tingkat Akses Deskripsi
Public Produk API yang tersedia untuk semua developer. Anda dapat menambahkannya ke bagian yang terintegrasi atau Portal developer berbasis Drupal.
Private atau Internal only Produk API yang didesain untuk penggunaan pribadi atau internal.

Untuk portal terintegrasi, Anda dapat menambahkan Private atau Internal only Produk API dan menyediakannya untuk developer aplikasi, sesuai kebutuhan.

Untuk portal developer berbasis Drupal, Anda dapat mengelola akses ke Private atau Internal only produk API di portal developer Anda, seperti yang dijelaskan dalam bagian:

  • Untuk portal developer Drupal 10, Anda dapat mengonfigurasi akses ke Private atau Internal only produk API di portal developer Anda, seperti yang dijelaskan di Konfigurasi izin akses ke produk API.
  • Untuk portal developer Drupal 7, Anda tidak dapat menambahkan produk API Private atau Internal only ke untuk portal developer Anda.

    Untuk menyediakan produk API Private atau Internal only ke aplikasi developer, Anda harus menambahkannya secara manual ke aplikasi yang terdaftar dari UI atau API Apigee, seperti yang dijelaskan dalam Mengontrol akses ke API dengan mendaftarkan aplikasi.

    Setelah ditambahkan, developer akan melihat produk API yang terkait dengan aplikasi di portal Anda, sebagaimana dijelaskan dalam Mengelola produk API dalam aplikasi. Jika developer aplikasi menonaktifkan akses ke produk API yang berupa Private atau Internal only, produk API dihapus dari aplikasi dan harus ditambahkan kembali secara manual oleh portal Google Workspace for Education.