API-Schlüssel

Diese Seite gilt für Apigee und Apigee Hybrid.

Apigee Edge-Dokumentation aufrufen

Ein API-Schlüssel (in Apigee als Consumer-Key bezeichnet) ist ein Stringwert, der von einer Clientanwendung an API-Proxys übergeben wird. Der Schlüssel identifiziert die Client-App zweifelsfrei.

Die Validierung per API-Schlüssel ist die einfachste Form der anwendungsbasierten Sicherheit, die Sie für eine API konfigurieren können. Eine Clientanwendung präsentiert dabei einfach einen API-Schlüssel mit der zugehörigen Anfrage. Apigee prüft dann, ob der API-Schlüssel einen Genehmigungsstatus für die angefragte Ressource aufweist. Intern verwenden Ihre Proxys Richtlinien, um die Authentizität von API-Schlüsseln zu prüfen.

Für diese Einfachheit müssen Sie ein paar Dinge einrichten. Zur Unterstützung von API-Schlüsseln müssen Sie Folgendes tun:

Erstellen Sie ein Apigee-API-Produkt, das die API-Proxys gruppiert, die Sie schützen möchten, mit dem API-Schlüssel.
Erstellen Sie eine Apigee-Entwickleranwendung, die den Client-App-Entwickler darstellt, dessen App Sie authentifizieren werden.
Beim Erstellen der Entwickler-App geben Sie API-Produkte an, auf die die App des Entwicklers Zugriff hat, und für die sie einen API-Schlüssel bereitstellen muss.
Fügen Sie den Proxys, also den API-Aufrufen, die Sie in Ihrem API-Produkt hinzugefügt haben, Richtlinien hinzu, um zu prüfen, ob ein eingehender API-Schlüssel gültig ist.

In der Anleitung API durch Anfordern von API-Schlüsseln sichern erfahren Sie, wie Sie den Zugriff auf API-Proxys mit API-Schlüsseln steuern.

Beispiel: Ein funktionsfähiger Beispiel-API-Proxy, der die API-Schlüsselvalidierung erzwingt, ist in den API-Beispielen für API auf GitHub verfügbar. Mit dem Beispiel-API-Proxy können Sie Ihre eigene API sichern. Suchen Sie den API-Proxy unter /sample-proxies/apikey. Ändern Sie die TargetEndpoint-Konfiguration so, dass sie auf Ihre URL verweist. Stellen Sie sie dann bereit.

Funktionsweise von API-Schlüsseln

In Apigee wird ein API-Schlüssel als Verbraucherschlüssel bezeichnet. Wenn Sie Entwickleranwendungen registrieren, generiert Apigee einen Consumer-Key und ein Consumer-Secret. Apigee speichert den Consumer-Key für die zukünftige Validierung. Jeder Consumer-Schlüssel ist in der Organisation eindeutig. Der App-Entwickler bettet den Consumer-Key in die Client-App ein. Die Clientanwendung muss für jede Anfrage den Consumer-Key angeben. API-Dienste überprüfen den Consumer-Key, bevor die Anfrage der Anwendung zugelassen wird.

Allgemeine Schritte

Folgende Schritten zeigen, wie API-Schlüssel von Apigee verwendet werden. Diese Schritte umfassen auch die optional vorhandene OAuth-Sicherheit, da sie häufig in Verbindung mit API-Schlüsseln verwendet wird.

Erstellen Sie ein API-Produkt mit API-Proxys, die mit dem API-Schlüssel geschützt werden sollen.
Sie registrieren eine Entwickler-App in Ihrer Organisation. Wenn Sie Apigee generieren, generieren Sie einen Nutzerschlüssel und ein Consumer-Secret.
Entwickler-App mit mindestens einem API-Produkt verknüpfen Es ist das Produkt, das Ressourcenpfade und API-Proxys der Schlüsselgenehmigung zuordnet.
Bei der Ausführung, wenn die Client-App eine Anfrage an Ihre API stellt, sendet die Client-App mit der Anfrage den Consumer-Key. In der Praxis kann der Consumer-Key entweder explizit übergeben oder implizit über ein OAuth-Token referenziert werden:
- Wenn die API die API-Schlüsselprüfung nutzt, z. B. durch Implementieren einer VerifyAPIKey-Richtlinie, muss die Client-App den Consumer-Key explizit übergeben.
- Wenn die API die OAuth-Token-Verifizierung nutzt, z. B. durch Implementieren einer OAuthV2-Richtlinie, muss die Client-App ein Token übergeben, das vom Consumer-Key abgeleitet wurde.
Der API-Proxy validiert die Anfrage entweder mithilfe einer VerifyAPIKey-Richtlinie oder anhand einer OAuthV2-Richtlinie mit einem VerifyAccessToken-Vorgang. Wenn Sie in Ihrem API-Proxy keine Richtlinie zur Durchsetzung von Anmeldedaten angeben, kann jeder Aufrufer Ihre APIs erfolgreich aufrufen. Weitere Informationen finden Sie unter API-Schlüsselrichtlinie verifizieren.

Anfrage-Anmeldedaten prüfen

Dies ist eine Übersicht. Weitere Informationen und Codebeispiele finden Sie unter API-Schlüsselvalidierung einrichten.

Wenn Sie die OAuth-Token-Verifizierung nutzen, haben Sie eine OAuth-Richtlinie implementiert, die bestätigt werden kann, und die Clientanwendung hat ein OAuth-Token übergeben.
- Apigee prüft, ob das Token abgelaufen ist, und ruft dann den Consumer-Key ab, mit dem das Token generiert wurde.
Wenn Sie einen API-Schlüssel verwenden, haben Sie eine VerifyAPIKey-Richtlinie implementiert und die Client-App hat ihren Consumer-Key übergeben:
1. Apigee prüft die Liste der API-Produkte, mit denen der Consumer-Key verknüpft wurde.
2. Apigee prüft jedes API-Produkt darauf, ob der aktuelle API-Proxy im API-Produkt enthalten ist und ob der aktuelle Ressourcenpfad (URL-Pfad) für das API-Produkt aktiviert ist.
3. Apigee prüft auch, ob der Consumer-Key noch gültig ist oder widerrufen wurde, ob die Anwendung widerrufen wurde, und ob der Entwickler inaktiv ist.
4. Wenn all diese Voraussetzungen erfüllt sind, das Token nicht abgelaufen (falls zutreffend), der Consumer-Schlüssel gültig und genehmigt ist, die App genehmigt ist, der Entwickler aktiv ist, der Proxy im Produkt verfügbar und die Ressource für das Produkt verfügbar ist, dann ist die Überprüfung der Anmeldedaten erfolgreich.