Questa pagina è stata tradotta dall'API Cloud Translation.

Chiavi API

Questa pagina si applica a Apigee e Apigee ibridi.

Visualizza documentazione di Apigee Edge.

Una chiave API (nota in Apigee come chiave utente) è un valore stringa passato da un'app client ai proxy API. La chiave identifica in modo univoco l'app client.

La convalida delle chiavi API è la forma di sicurezza basata su app più semplice che puoi configurare per un API. Un'app client presenta semplicemente una chiave API con la sua richiesta, quindi Apigee controlla per vedere che la chiave API sia in stato approvato per la risorsa richiesta. Internamente, i proxy usano criteri per verificare l'autenticità delle chiavi API.

Per supportare questa semplicità, dovrai effettuare alcune operazioni di configurazione. Per supportare le chiavi API, è necessario a:

Crea un prodotto API Apigee che raggruppa i proxy API che vuoi proteggere con la chiave API.
Crea un'app sviluppatore Apigee che rappresenti lo sviluppatore di app client di cui autenticherai l'app.
Durante la creazione dell'app sviluppatore, specifichi i prodotti API a sua disposizione. e per il quale dovrà fornire una chiave API.
Aggiungi i criteri ai proxy inclusi nel prodotto API. per verificare che una chiave API in entrata sia valida.

L'opzione Proteggi un'API tramite il tutorial relativo alla richiesta di chiavi API rappresenta un modo rapido per imparare a controllare l'accesso a un proxy API con una chiave API.

Esempio: un proxy API di esempio funzionante che applica la convalida delle chiavi API è disponibili nella piattaforma API Esempi disponibili su GitHub. Puoi utilizzare il proxy API di esempio per proteggere la tua API. Localizza il proxy API trovato in /sample-proxies/apikey. Modificare il TargetEndpoint configurazione in modo che rimandi al tuo URL. e poi esegui il deployment.

Come funzionano le chiavi API

In Apigee, una chiave API è detta chiave utente. Quando registri app sviluppatore, Apigee genera una chiave utente e un secret. Apigee archivia la chiave utente per il futuro dei dati. Ogni chiave utente è univoca nell'organizzazione. Lo sviluppatore dell'app incorpora chiave utente nell'app client. L'app client deve presentare la chiave utente per ogni richiesta. I servizi API verificano la chiave utente prima di consentire la richiesta dell'app.

Passi di alto livello

I passaggi seguenti descrivono come le chiavi API vengono utilizzate da Apigee. Questi passaggi includono della sicurezza OAuth, poiché spesso è utilizzata in combinazione con chiave.

Crea un prodotto API che includa proxy API che dovrebbero essere protetti con la chiave API.
Registra un'app sviluppatore nella tua organizzazione. Con Apigee genera una chiave utente e un segreto utente.
Associa l'app sviluppatore ad almeno un prodotto API. È la prodotto che associa i percorsi delle risorse e i proxy API all'approvazione della chiave.
In fase di esecuzione, quando l'app client effettua una richiesta all'API, l'app client invia la chiave utente quando effettui la richiesta. In pratica, la chiave utente potrebbe essere passati esplicitamente o che possano essere implicitamente indicati tramite un token OAuth:
- Quando l'API utilizza la verifica della chiave API, ad esempio implementando un criterio VerifyAPIKey -- l'app client deve trasmettere la chiave utente in modo esplicito.
- Quando l'API utilizza la verifica del token OAuth, ad esempio implementando un criterio OAuthV2. -- l'app client deve passare un token derivato dal consumer chiave.
Il proxy API convalida le credenziali della richiesta tramite una Il criterio VerifyAPIKey o un criterio OAuthV2 con un'operazione VerifyAccessToken. In caso contrario includi un criterio di applicazione delle credenziali nel proxy API, qualsiasi chiamante può richiamare le tue API. Per ulteriori informazioni, vedi Verifica chiave API .

Verifica delle credenziali della richiesta in corso...

Questa è una panoramica. Assicurati di vedere Impostazione della chiave API per dettagli ed esempi di codice.

Se utilizzi la verifica del token OAuth, hai implementato un criterio OAuth per la verifica. e che l'app client abbia passato un token OAuth:
- Apigee verifica che il token non sia scaduto e poi cerca la chiave utente. utilizzato per generare il token.
Se utilizzi una chiave API, hai implementato un criterio VerifyAPIKey e l'app client ha trasmesso la sua chiave utente:
1. Apigee controlla l'elenco dei prodotti API con cui è stata utilizzata la chiave consumer associati.
2. Apigee controlla ogni prodotto API per verificare se l'attuale proxy API è incluso nell'API Prodotto e se il percorso della risorsa corrente (percorso dell'URL) è abilitato nel prodotto API.
3. Apigee verifica inoltre che la chiave utente non sia scaduta o revocata, controlla che l'app non viene revocato e verifica che lo sviluppatore non sia inattivo.
4. Se tutte queste condizioni sono vere (ovvero il token non è scaduto (se applicabile), chiave utente sia valida e approvata, l'app è approvata, lo sviluppatore è attivo, il proxy è disponibile nel prodotto, mentre la risorsa è disponibile nel prodotto: la credenziale verifica completata.