Verifica dei token di accesso

Questa pagina si applica ad Apigee e Apigee hybrid.

Visualizza la documentazione di Apigee Edge.

Quando chiami un proxy API su Apigee con sicurezza OAuth, Apigee è responsabile della verifica dei token di accesso. Considera Apigee come il guardiano: nessuna chiamata API può passare se non dispone di un token di accesso verificabile.

Aggiungere una policy VerifyAccessToken

Per configurare la verifica del token, inserisci un criterio OAuthV2 con l'operazione VerifyAccessToken all'inizio del flusso del proxy API (all'inizio del pre-flusso ProxyEndpoint). Se inseriti qui, i token di accesso vengono verificati prima di qualsiasi altra elaborazione e, se un token viene rifiutato, Apigee interrompe l'elaborazione e restituisce un errore al client.

Per accedere alla pagina dei proxy API utilizzando la UI di Apigee:

  1. Apri l'interfaccia utente di Apigee.
  2. Seleziona Sviluppa > Proxy API nella barra di navigazione a sinistra.
  3. Seleziona il proxy che vuoi proteggere dall'elenco.
  4. Nella pagina di panoramica, fai clic sulla scheda Sviluppa.
  5. Nel navigatore, seleziona PreFlow per un endpoint elencato in Endpoint proxy. In genere, l'endpoint che ti interessa si chiama "default", anche se è possibile creare più endpoint proxy. Se hai più endpoint, probabilmente ti consigliamo di seguire questi passaggi per eseguire la verifica del token su ciascuno.

    Seleziona PreFlow per un endpoint elencato in Endpoint proxy.
  6. Nell'editor del flusso proxy, fai clic su + Passaggio.

    Fai clic su + Passaggio.
  7. Seleziona Policy Instance New.
  8. Dall'elenco delle norme, seleziona OAuth v2.0.
  9. (Facoltativo) Modifica il nome e il nome visualizzato della norma. Ad esempio, per una migliore leggibilità, potresti modificare sia il nome visualizzato che il nome in "VerifyAccessToken".
  10. Fai clic su Aggiungi.

Il criterio predefinito è già configurato con l'operazione VerifyAccessToken, quindi non devi fare altro:

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<OAuthV2 async="false" continueOnError="false" enabled="true" name="OAuth-v20-1">
    <DisplayName>OAuth v2.0 1</DisplayName>
    <FaultRules/>
    <Properties/>
    <Attributes/>
    <ExternalAuthorization>false</ExternalAuthorization>
    <Operation>VerifyAccessToken</Operation>
    <SupportedGrantTypes/>
    <GenerateResponse enabled="true"/>
    <Tokens/>
</OAuthV2>