Halaman ini diterjemahkan oleh Cloud Translation API.

Memverifikasi token akses

Halaman ini berlaku untuk Apigee dan Apigee Hybrid.

Baca dokumentasi Apigee Edge.

Saat Anda memanggil proxy API di Apigee yang memiliki keamanan OAuth, Apigee bertanggung jawab untuk memverifikasi token akses. Bayangkan Apigee sebagai gatekeeper -- tidak ada panggilan API yang dapat diteruskan jika tidak memiliki token akses yang dapat diverifikasi.

Menambahkan kebijakan VerifyAccessToken

Untuk mengonfigurasi verifikasi token, terapkan kebijakan OAuthV2 dengan operasi VerifyAccessToken di bagian paling awal alur proxy API (awal Preflow ProxyEndpoint). Jika ditempatkan di sana, token akses akan diverifikasi sebelum pemrosesan lainnya dilakukan. Jika token ditolak, Apigee akan berhenti memproses dan menampilkan error kembali ke klien.

Untuk mengakses halaman proxy API menggunakan UI Apigee:

Buka UI Apigee.
Pilih Develop > API Proxies di menu navigasi sebelah kiri.
Dari daftar tersebut, pilih proxy yang ingin dilindungi.
Di halaman Overview, klik tab Develop.
Di Navigator, pilih PreFlow untuk endpoint yang tercantum di bagian Proxy Endpoints. Biasanya, endpoint yang Anda inginkan disebut "default", meskipun Anda dapat membuat beberapa endpoint proxy. Jika Anda memiliki beberapa endpoint, sebaiknya ikuti langkah-langkah ini untuk melakukan verifikasi token di setiap endpoint.
Di editor alur proxy, klik + Langkah.
Pilih Policy Instance New.
Dari daftar kebijakan, pilih OAuth v2.0.
Anda juga dapat mengubah nama kebijakan dan nama tampilan. Misalnya, agar lebih mudah dibaca, Anda dapat mengubah nama tampilan dan nama keduanya menjadi "VerifyAccessToken".
Klik Tambahkan.

Kebijakan default sudah dikonfigurasi dengan operasi VerifyAccessToken, sehingga Anda tidak perlu melakukan tindakan apa pun:

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<OAuthV2 async="false" continueOnError="false" enabled="true" name="OAuth-v20-1">
    <DisplayName>OAuth v2.0 1</DisplayName>
    <FaultRules/>
    <Properties/>
    <Attributes/>
    <ExternalAuthorization>false</ExternalAuthorization>
    <Operation>VerifyAccessToken</Operation>
    <SupportedGrantTypes/>
    <GenerateResponse enabled="true"/>
    <Tokens/>
</OAuthV2>

Catatan: Secara default, VerifyAccessToken mengharapkan token akses dikirim dalam header Otorisasi sebagai Token pemilik. Contoh:

-H "Authorization: Bearer Rft3dqrs56Blirls56a"

Anda dapat mengubah setelan default ini di elemen <AccessToken> dalam kebijakan OAuthV2, seperti yang dijelaskan dalam dokumentasi kebijakan OAuthV2.