Verifica tokens de acceso

Esta página se aplica a Apigee y Apigee Hybrid.

Consulta la documentación de Apigee Edge.

Cuando llamas a un proxy de API en Apigee con seguridad OAuth, Apigee es responsable de verificar los tokens de acceso. Piensa en Apigee como el equipo selector: ninguna llamada a la API puede pasar por eso y no tiene un token de acceso que se pueda verificar.

Agrega una política VerifyAccessToken

Para configurar la verificación del token, coloca una política de OAuthV2 con la operación VerifyAccessToken al comienzo del flujo del proxy de API (el comienzo del flujo de preprocesamiento de ProxyEndpoint). Si se coloca allí, los tokens de acceso se verificarán antes de que se realice cualquier otro procesamiento, y si se rechaza un token, Apigee deja de procesarlo y muestra un error al cliente.

Para acceder a la página de proxies de API mediante la IU de Apigee, sigue estos pasos:

Abre la IU de Apigee.
Selecciona Desarrollar > Proxies de API en la barra de navegación izquierda.
En la lista, selecciona el proxy que deseas proteger.
En la página de descripción general, haz clic en la pestaña Desarrollar.
En el navegador, selecciona PreFlow para un extremo que se encuentra en Proxy Endpoints. Por lo general, el extremo que deseas se denomina “predeterminado”, aunque es posible crear múltiples extremos de proxy. Si tienes varios extremos, es recomendable que sigas estos pasos para realizar la verificación de token en cada uno.
En el editor de flujo del proxy, haz clic en + Paso (+ Step).
Selecciona Nueva instancia de política.
En la lista de políticas, selecciona OAuth v2.0.
Opcionalmente, cambia el nombre de la política y el nombre visible. Por ejemplo, para mejorar la legibilidad, puedes cambiar el nombre visible y el nombre a "VerifyAccessToken".
Haga clic en Add.

La política predeterminada ya está configurada con la operación VerifyAccessToken, por lo que no tienes que hacer nada más:

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<OAuthV2 async="false" continueOnError="false" enabled="true" name="OAuth-v20-1">
    <DisplayName>OAuth v2.0 1</DisplayName>
    <FaultRules/>
    <Properties/>
    <Attributes/>
    <ExternalAuthorization>false</ExternalAuthorization>
    <Operation>VerifyAccessToken</Operation>
    <SupportedGrantTypes/>
    <GenerateResponse enabled="true"/>
    <Tokens/>
</OAuthV2>

Nota: De forma predeterminada, VerifyAccessToken espera que el token de acceso se envíe en un encabezado de autorización como un token del portador. Por ejemplo:

-H "Authorization: Bearer Rft3dqrs56Blirls56a"

Puedes cambiar esta configuración predeterminada en el elemento <AccessToken> de la política de OAuthV2, como se explica en la documentación de políticas de OAuthV2.