Questa pagina è stata tradotta dall'API Cloud Translation.

Implementazione del tipo di concessione delle credenziali client

Questa pagina si applica a Apigee e Apigee ibridi.

Visualizza documentazione di Apigee Edge.

Con il tipo di concessione delle credenziali client, un'app invia le proprie credenziali (ID client e client secret) a un endpoint su Apigee configurato per generare un token di accesso. Se che le credenziali siano valide, Apigee restituisce un token di accesso all'app client.

Informazioni su questo argomento

Questo argomento offre una descrizione generale del tipo di concessione delle credenziali client OAuth 2.0 e illustra come implementare questo flusso su Apigee.

Casi d'uso

Di solito, questo tipo di autorizzazione viene utilizzato quando l'app è anche il proprietario della risorsa. Ad esempio: un'app potrebbe aver bisogno di accedere a un servizio di archiviazione backend basato su cloud per archiviare e recuperare i dati che utilizza per svolgere le proprie attività, anziché dati di proprietà specifica dell'utente finale. Questo tipo di concessione avviene rigorosamente tra un'app client e il server di autorizzazione. Un utente finale non a questo flusso di tipi di concessioni.

Ruoli

I ruoli specificano gli "attori" che partecipano al flusso OAuth. Facciamo una rapida panoramica i ruoli delle credenziali client per illustrare dove si inserisce Apigee. Per un sui ruoli di OAuth 2.0, consulta Specifica OAuth 2.0 della IETF.

App client: l'app che deve accedere al profilo Google Cloud. In genere, con questo flusso, l'app viene eseguita sul server e non localmente su un laptop o un dispositivo.
Apigee: in questo flusso, Apigee è l'autorizzazione OAuth o server web. Il suo ruolo è generare i token di accesso, convalidare i token di accesso e passare le autorizzazioni per le risorse protette sul server delle risorse.
Server di risorse: il servizio di backend che archivia i dati protetti a cui l'app client necessita dell'autorizzazione per accedere. Se stai proteggendo i proxy API ospitati su Apigee, quindi, è anche il server di risorse.

Esempio di codice

Puoi trovare una descrizione completa di esempio del tipo di concessione delle credenziali client su GitHub. Consulta Di seguito sono riportate risorse aggiuntive per i link ad altri esempi.

Diagramma di flusso

Il seguente diagramma di flusso illustra il flusso delle credenziali client con Apigee utilizzato come il server di autorizzazione. In generale, Apigee è anche il server di risorse in questo flusso, ovvero I proxy API sono le risorse protette.

Flusso delle credenziali del client.

Passaggi nel flusso delle credenziali client

Ecco un riepilogo dei passaggi necessari per implementare il tipo di concessione del codice delle credenziali client in cui Apigee funge da server di autorizzazione. Ricorda che, con questo flusso, l'app client presenta semplicemente il proprio ID client e il proprio client secret e, se sono validi, Apigee restituisce token di accesso.

Prerequisito: l'app client deve essere registrata con Apigee per ottenere l'ID client e le chiavi client secret. Consulta Registrazione delle app client per maggiori dettagli.

1. Il client richiede un token di accesso

Per ricevere un token di accesso, il client POSTA una chiamata API ad Apigee con i valori per l'ID client e client secret ottenuti da un'app sviluppatore registrata (in questo esempio, i valori sono Codifica Base64 e passata nell'intestazione Authorization. Inoltre, il parametro grant_type=client_credentials deve essere trasmesso come parametro di query. (Tuttavia, puoi configurare il criterio OAuthV2 per accettare questo parametro nell'intestazione o nel corpo della richiesta. Vedi criterio OAuthV2 per maggiori dettagli).

Ad esempio:

curl -H "Content-Type: application/x-www-form-urlencoded" \
  -H "Authorization: Basic c3FIOG9vSGV4VHo4QzAyg5T1JvNnJoZ3ExaVNyQWw6WjRsanRKZG5lQk9qUE1BVQ" \
  -X POST "https://apitest.acme.com/oauth/token" \
  -d "grant_type=client_credentials"

Vedi anche Utilizzare il tipo di concessione delle credenziali client.

2. Apigee convalida credentials

Tieni presente che la chiamata API viene inviata all'endpoint /oauth/token. Questo endpoint ha un criterio che convalida le credenziali dell'app. In altre parole, le norme confrontano con quelle create da Apigee al momento della registrazione dell'app. Se desideri Per saperne di più sugli endpoint OAuth su Apigee, consulta Configurare OAuth endpoint e criteri.

3. Apigee restituisce una risposta

Se le credenziali sono corrette, Apigee restituisce un token di accesso al client. In caso contrario, viene visualizzato un errore restituito.

4. Il cliente chiama API Protected

Ora, con un token di accesso valido, il client può effettuare chiamate all'API protetta. In questo le richieste vengono inviate ad Apigee (il proxy), che è responsabile della convalida il token di accesso prima di passare la chiamata API al server di risorse di destinazione. Ad esempio, consulta la sezione Chiamare l'API protetta di seguito.

Configurazione di flussi e criteri

In qualità di server di autorizzazione, Apigee elabora le richieste per i token di accesso. In qualità di sviluppatore dell'API, devi creare un proxy con un flusso personalizzato per gestire le richieste di token, aggiungere Criterio OAuthV2. Questa sezione spiega come configurare l'endpoint.

Configurazione del flusso personalizzato

Il modo più semplice per mostrare come è configurato il flusso proxy API è mostrare il flusso XML definizione di Kubernetes. Ecco un esempio di flusso di proxy API progettato per elaborare una richiesta di token di accesso. Per Ad esempio, quando arriva una richiesta e il suffisso del percorso corrisponde a /oauth/token, viene attivato. Consulta la sezione Configurazione di OAuth. endpoint e criteri per una rapida panoramica dei passaggi necessari per creare un flusso personalizzato in questo modo.

<Flows>
  <Flow name="GetAccessToken">
         <!-- This policy flow is triggered when the URI path suffix
         matches /oauth/token. Publish this URL to app developers
         to use when obtaining an access token using an auth code
         -->
    <Condition>proxy.pathsuffix == "/oauth/token"</Condition>
    <Request>
        <Step><Name>GetAccessToken</Name></Step>
    </Request>
  </Flow>
</Flows>

Configurare il flusso con un criterio

Devi collegare un criterio all'endpoint, come segue. Consulta la sezione Configurazione di OAuth. endpoint e criteri per una rapida panoramica dei passaggi necessari per aggiungere un criterio OAuthV2. a un endpoint proxy.

Richiedi token di accesso

Questo criterio è collegato al percorso /oauth/token. Utilizza il protocollo OAuthV2 specificato con l'operazione GeneraAccessToken specificata.

<OAuthV2 name="GetAccessToken">
  <Operation>GenerateAccessToken</Operation>
  <ExpiresIn>3600000</ExpiresIn>
  <SupportedGrantTypes>
    <GrantType>client_credentials</GrantType>
  </SupportedGrantTypes>
  <GenerateResponse/>
</OAuthV2>

La chiamata API per ottenere il token di accesso è di tipo POST e include un’intestazione Autorizzazione con Codifica Base64 client_id + client_secret e parametro di query grant_type=client_credentials. Può anche includere parametri facoltativi per ambito e stato. Ad esempio:

curl -i \
  -H 'Content-Type: application/x-www-form-urlencoded' \
  -X POST 'https://docs-test.apigee.net/oauth/accesstoken' \
  -d 'grant_type=client_credentials' \
  -H 'Authorization: Basic c3FIOG9vSGV4VHo4QzAySVgT1JvNnJoZ3ExaVNyQWw6WjRsanRKZG5lQk9qUE1BVQ'

Collegamento del criterio di verifica del token di accesso in corso...

Per proteggere l'API con la sicurezza OAuth 2.0, devi aggiungere un criterio OAuthV2 con Operazione VerifyAccessToken. Questo criterio controlla che le richieste in entrata abbiano un token di accesso valido. Se il token è valido, Apigee elabora la richiesta. Se non è valido, Apigee restituisce un errore. Per i passaggi di base, consulta la sezione Verificare di accesso ai token.

<OAuthV2 async="false" continueOnError="false" enabled="true" name="VerifyAccessToken">
    <DisplayName>VerifyAccessToken</DisplayName>
    <ExternalAuthorization>false</ExternalAuthorization>
    <Operation>VerifyAccessToken</Operation>
    <SupportedGrantTypes/>
    <GenerateResponse enabled="true"/>
    <Tokens/>
</OAuthV2>

Chiamare l'API protetta

Per chiamare un'API protetta con la sicurezza OAuth 2.0, devi presentare un accesso valido di accesso. Il pattern corretto consiste nell'includere il token in un'intestazione Autorizzazione, come segue: Nota che il token di accesso è indicato anche come "token di connessione".

$ curl -H "Authorization: Bearer UAj2yiGAcMZGxfN2DhcUbl9v8WsR" \
  http://myorg-test.apigee.net/v0/weather/forecastrss?w=12797282

Vedi anche Inviare un accesso di accesso.

Risorse aggiuntive

Apigee offre formazione online per sviluppatori di API, tra cui un corso su API sicurezza, compreso OAuth.
Criterio OAuthV2 -- Contiene molti esempi che mostrano come effettuare richieste al server di autorizzazione e come configurare il criterio OAuthV2.