Questa pagina è stata tradotta dall'API Cloud Translation.

Implementazione del tipo di concessione delle credenziali client

Questa pagina si applica a Apigee e Apigee ibrido.

Visualizza la documentazione di Apigee Edge.

Con il tipo di concessione delle credenziali client, un'app invia le proprie credenziali (ID client e client secret) a un endpoint su Apigee configurato per generare un token di accesso. Se le credenziali sono valide, Apigee restituisce un token di accesso all'app client.

Informazioni su questo argomento

Questo argomento offre una descrizione generale del tipo di concessione delle credenziali client OAuth 2.0 e illustra come implementare questo flusso su Apigee.

Casi d'uso

Di solito, questo tipo di autorizzazione viene utilizzato quando l'app è anche il proprietario della risorsa. Ad esempio, un'app potrebbe dover accedere a un servizio di archiviazione backend basato su cloud per archiviare e recuperare i dati che utilizza per eseguire il proprio lavoro, anziché i dati di proprietà specifica dell'utente finale. Questo flusso del tipo di concessione avviene strettamente tra un'app client e il server di autorizzazione. Un utente finale non partecipa a questo flusso di tipo di concessione.

Ruoli

I ruoli specificano gli "attori" che partecipano al flusso OAuth. Vediamo una rapida panoramica dei ruoli delle credenziali client per capire meglio dove si inserisce Apigee. Per una discussione completa sui ruoli di OAuth 2.0, consulta la specifica OAuth 2.0 di IETF.

App client: l'app che deve accedere alle risorse protette dell'utente. In genere, con questo flusso, l'app viene eseguita sul server anziché localmente sul laptop o sul dispositivo dell'utente.
Apigee: in questo flusso, Apigee è il server di autorizzazione OAuth. Il suo ruolo consiste nel generare token di accesso, convalidare i token di accesso e passare le richieste autorizzate per le risorse protette al server di risorse.
Server di risorse: il servizio di backend che archivia i dati protetti per i quali l'app client necessita dell'autorizzazione ad accedere. Se stai proteggendo i proxy API ospitati su Apigee, Apigee è anche il server di risorse.

Esempio di codice

Puoi trovare un' implementazione di esempio completa e funzionante del tipo di concessione delle credenziali client su GitHub. Consulta la sezione Risorse aggiuntive di seguito per i link ad altri esempi.

Diagramma di flusso

Il seguente diagramma di flusso illustra il flusso delle credenziali client in cui Apigee funge da server di autorizzazione. In generale, Apigee è anche il server di risorse in questo flusso, ovvero i proxy API sono le risorse protette.

Flusso delle credenziali del client.

Passaggi nel flusso delle credenziali client

Ecco un riepilogo dei passaggi necessari per implementare il tipo di concessione del codice delle credenziali client in cui Apigee funge da server di autorizzazione. Ricorda che con questo flusso l'app client presenta semplicemente il proprio ID client e il proprio client secret e, se sono validi, Apigee restituisce un token di accesso.

Prerequisito: l'app client deve essere registrata con Apigee per ottenere l'ID client e le chiavi client secret. Per maggiori dettagli, consulta Registrazione di app client.

1. Il client richiede un token di accesso

Per ricevere un token di accesso, il client POSTA una chiamata API ad Apigee con i valori per l'ID client e il client secret ottenuti da un'app sviluppatore registrata (in questo esempio, i valori sono codificati in Base64 e passati nell'intestazione Authorization. Inoltre, il parametro grant_type=client_credentials deve essere trasmesso come parametro di query. Tuttavia, puoi configurare il criterio OAuthV2 in modo che accetti questo parametro nell'intestazione o nel corpo della richiesta. Consulta Criterio OAuthV2 per i dettagli.

Ad esempio:

curl -H "Content-Type: application/x-www-form-urlencoded" \
  -H "Authorization: Basic c3FIOG9vSGV4VHo4QzAyg5T1JvNnJoZ3ExaVNyQWw6WjRsanRKZG5lQk9qUE1BVQ" \
  -X POST "https://apitest.acme.com/oauth/token" \
  -d "grant_type=client_credentials"

Vedi anche Utilizzare il tipo di concessione delle credenziali client.

2. Apigee convalida le credenziali

Tieni presente che la chiamata API viene inviata all'endpoint /oauth/token. A questo endpoint è associato un criterio che convalida le credenziali dell'app. In altre parole, il criterio confronta le chiavi inviate con quelle create da Apigee al momento della registrazione dell'app. Per saperne di più sugli endpoint OAuth su Apigee, leggi come configurare gli endpoint e i criteri OAuth.

3. Apigee restituisce una risposta

Se le credenziali sono corrette, Apigee restituisce un token di accesso al client. In caso contrario, viene restituito un errore.

4. Il client chiama l'API protetta

Ora, con un token di accesso valido, il client può effettuare chiamate all'API protetta. In questo scenario, le richieste vengono effettuate ad Apigee (il proxy) e Apigee è responsabile della convalida del token di accesso prima di passare la chiamata API al server di risorse di destinazione. Per un esempio, consulta la sezione Chiamata all'API protetta di seguito.

Configurazione di flussi e criteri

In qualità di server di autorizzazione, Apigee elabora le richieste per i token di accesso. In qualità di sviluppatore di API, devi creare un proxy con un flusso personalizzato per gestire le richieste di token e aggiungere e configurare un criterio OAuthV2. Questa sezione spiega come configurare l'endpoint.

Configurazione del flusso personalizzato

Il modo più semplice per mostrare come è configurato il flusso proxy API è mostrare la definizione del flusso XML. Ecco un esempio di flusso di proxy API progettato per elaborare una richiesta di token di accesso. Ad esempio, quando arriva una richiesta e il suffisso del percorso corrisponde a /oauth/token, viene attivato il criterio GetAccessToken. Consulta la pagina Configurazione di endpoint e criteri OAuth per una rapida panoramica dei passaggi necessari per creare un flusso personalizzato come questo.

<Flows>
  <Flow name="GetAccessToken">
         <!-- This policy flow is triggered when the URI path suffix
         matches /oauth/token. Publish this URL to app developers
         to use when obtaining an access token using an auth code
         -->
    <Condition>proxy.pathsuffix == "/oauth/token"</Condition>
    <Request>
        <Step><Name>GetAccessToken</Name></Step>
    </Request>
  </Flow>
</Flows>

Configurare il flusso con un criterio

Devi collegare un criterio all'endpoint, come segue. Consulta Configurazione di endpoint e criteri OAuth per una rapida panoramica dei passaggi necessari per aggiungere un criterio OAuthV2 a un endpoint proxy.

Richiedi token di accesso

Questo criterio è collegato al percorso /oauth/token. Utilizza il criterio OAuthV2 con l'operazioneGenerateAccessToken specificata.

<OAuthV2 name="GetAccessToken">
  <Operation>GenerateAccessToken</Operation>
  <ExpiresIn>3600000</ExpiresIn>
  <SupportedGrantTypes>
    <GrantType>client_credentials</GrantType>
  </SupportedGrantTypes>
  <GenerateResponse/>
</OAuthV2>

La chiamata API per ottenere il token di accesso è un POST e include un'intestazione di autorizzazione con codifica Base64 client_id + client_secret e il parametro di query grant_type=client_credentials. Può anche includere parametri facoltativi per ambito e stato. Ad esempio:

curl -i \
  -H 'Content-Type: application/x-www-form-urlencoded' \
  -X POST 'https://docs-test.apigee.net/oauth/accesstoken' \
  -d 'grant_type=client_credentials' \
  -H 'Authorization: Basic c3FIOG9vSGV4VHo4QzAySVgT1JvNnJoZ3ExaVNyQWw6WjRsanRKZG5lQk9qUE1BVQ'

Collegamento del criterio di verifica del token di accesso in corso...

Per proteggere l'API con la sicurezza OAuth 2.0, devi aggiungere un criterio OAuthV2 con l'operazione VerifyAccessToken. Questo criterio controlla che le richieste in entrata abbiano un token di accesso valido. Se il token è valido, Apigee elabora la richiesta. Se non è valido, Apigee restituisce un errore. Per i passaggi di base, vedi Verificare i token di accesso.

<OAuthV2 async="false" continueOnError="false" enabled="true" name="VerifyAccessToken">
    <DisplayName>VerifyAccessToken</DisplayName>
    <ExternalAuthorization>false</ExternalAuthorization>
    <Operation>VerifyAccessToken</Operation>
    <SupportedGrantTypes/>
    <GenerateResponse enabled="true"/>
    <Tokens/>
</OAuthV2>

Chiamare l'API protetta

Per chiamare un'API protetta con la sicurezza OAuth 2.0, devi presentare un token di accesso valido. Il pattern corretto consiste nell'includere il token in un'intestazione di autorizzazione, come segue: Tieni presente che il token di accesso è anche indicato come "token di connessione".

$ curl -H "Authorization: Bearer UAj2yiGAcMZGxfN2DhcUbl9v8WsR" \
  http://myorg-test.apigee.net/v0/weather/forecastrss?w=12797282

Vedi anche Invio di un token di accesso.

Risorse aggiuntive

Apigee offre formazione online per sviluppatori di API, tra cui un corso sulla sicurezza delle API, che include OAuth.
Criterio OAuthV2: contiene molti esempi che mostrano come effettuare richieste al server di autorizzazione e come configurare il criterio OAuthV2.