Proteggi un'API richiedendo chiavi API | Apigee

È importante proteggere l'API da accessi non autorizzati. Un modo per farlo è con le chiavi API.

Quando un'app effettua una richiesta a un proxy API configurato per verificare una chiave API, l'app deve fornire una chiave valida. In fase di runtime, il criterio Verifica chiave API controlla che la chiave API fornita:

È valido
Non è stato revocato
Corrisponde alla chiave API per il prodotto API che espone le risorse richieste

Se la chiave è valida, la richiesta è consentita. Se la chiave non è valida, la richiesta determina un errore di autorizzazione.

Crea il proxy API

Vai all'UI di Apigee ed esegui l'accesso.
Seleziona la tua organizzazione utilizzando il menu a discesa nell'angolo in alto a sinistra dell'interfaccia utente.
Fai clic su Sviluppo > Proxy API per visualizzare l'elenco dei proxy API.
Fai clic su Crea nuovo.
Nella procedura guidata Crea un proxy, seleziona Inverti proxy (più comune).

Configura il proxy come segue:

In questo campo	fai questo
Nome proxy	Inserisci: `helloworld_apikey`
Percorso di base del progetto	Cambia in: `/helloapikey` Il percorso di base del progetto fa parte dell'URL utilizzato per effettuare richieste al proxy API.
Descrizione	Inserisci: `hello world protected by API key`
Target (API esistente)	Inserisci: `http://mocktarget.apigee.net` Definisce l'URL di destinazione che Apigee richiama su una richiesta al proxy API. Questo target restituisce semplicemente una risposta semplice: `Hello, Guest!`.

Fai clic su Avanti.
Nella pagina Criteri comuni, seleziona Chiave API. Questa opzione consente di aggiungere automaticamente due criteri al proxy API e di creare un prodotto API necessario per generare la chiave API.
Fai clic su Avanti.
Nella pagina Riepilogo, assicurati che sia selezionato un ambiente di deployment e fai clic su Crea ed esegui il deployment.
Fai clic su Modifica proxy per visualizzare la pagina Panoramica del proxy API.

Visualizza i criteri

Nell'editor del proxy API, fai clic sulla scheda Sviluppo. Vedrai che sono stati aggiunti due criteri al flusso di richieste del proxy API:
- Verifica chiave API: controlla la chiamata API per verificare che sia presente una chiave API valida (inviata come parametro di query).
- Rimuovi param di query apikey: un criterio Assegna messaggio che rimuove la chiave API dopo averla selezionata, in modo che non venga passata e non venga esposto inutilmente.
Fai clic sull'icona del criterio di verifica della chiave API nella visualizzazione del flusso e osserva la configurazione XML del criterio nella visualizzazione codice inferiore. L'elemento <APIKey> indica al criterio dove deve cercare la chiave API quando viene effettuata la chiamata. Per impostazione predefinita, cerca la chiave come parametro di query denominato apikey nella richiesta HTTP:
```
<APIKey ref="request.queryparam.apikey" />
```
Il nome apikey è arbitrario e può essere qualsiasi proprietà contenente la chiave API.

Prova a chiamare l'API

In questo passaggio, effettuerai una chiamata API riuscita direttamente al servizio di destinazione, quindi effettuerai una chiamata non riuscita al proxy API per verificare come viene protetto dai criteri.

Operazione riuscita

In un browser web, vai al seguente indirizzo. Questo è il servizio di destinazione a cui il proxy API è configurato per inoltrare la richiesta, ma per il momento farai clic direttamente:
```
http://mocktarget.apigee.net
```
Dovresti ricevere questa risposta positiva: Hello, Guest!
Errore

Ora prova a chiamare il proxy API:
```
curl -v -k https://YOUR_ENV_GROUP_HOSTNAME/helloapikey
```
dove YOUR ENV_GROUP_HOSTNAME è il nome host del gruppo di ambienti. Consulta Trovare il nome host del gruppo di ambienti.

Nota: se hai problemi a chiamare il proxy, potresti dover aggiungere l'intestazione Host, come descritto in Deployment di un proxy di esempio.

Senza il criterio Verification API Key, questa chiamata restituirà la stessa risposta della chiamata precedente. In questo caso, però, dovresti ricevere la seguente risposta di errore:
```
{"fault":{"faultstring":"Failed to resolve API Key variable request.queryparam.apikey","detail":{"errorcode":"steps.oauth.v2.FailedToResolveAPIKey"}}}
```
il che significa, correttamente, che non hai passato una chiave API valida (come parametro di query).

Nei passaggi successivi, riceverai la chiave API richiesta.

Aggiunta di un prodotto API

Per aggiungere un prodotto API utilizzando la UI di Apigee:

Seleziona Pubblica > Prodotti API.
Fai clic su +Crea.

Inserisci i dettagli del prodotto API.

Campo	Descrizione
Nome	Nome interno del prodotto API. Non specificare caratteri speciali nel nome. Nota: non puoi modificare il nome dopo aver creato il prodotto API.
Nome visualizzato	Nome visualizzato del prodotto API. Il nome visualizzato viene utilizzato nell'interfaccia utente e puoi modificarlo in qualsiasi momento. Se non specificato, verrà utilizzato il valore Name (Nome). Questo campo viene compilato automaticamente utilizzando il valore Nome; puoi modificarne o eliminarne i contenuti. Il nome visualizzato può includere caratteri speciali.
Descrizione	Descrizione del prodotto API.
Ambiente	Ambienti a cui il prodotto API consentirà l'accesso. Ad esempio, `test` o `prod`.
Accedi	Seleziona Public (Pubbliche).
Approva automaticamente le richieste di accesso	Attiva l'approvazione automatica delle richieste di chiavi per questo prodotto API da qualsiasi app.
Quota	Ignora per questo tutorial.
Ambiti OAuth consentiti	Ignora per questo tutorial.

Nella sezione Operazioni, fai clic su AGGIUNGI UN'OPERAZIONE.
Nel campo Proxy API, seleziona il proxy API appena creato.
Nel campo Percorso, inserisci "/". Ignora gli altri campi.
Fai clic su Salva per salvare l'operazione.
Fai clic su Salva per salvare il prodotto API.

Aggiungi uno sviluppatore e un'app alla tua organizzazione

Quindi, simuleremo il flusso di lavoro di uno sviluppatore che si registra per utilizzare le tue API. Uno sviluppatore avrà una o più app che chiamano le tue API e ogni app riceverà una chiave API univoca. In questo modo, il provider dell'API dispone di un controllo più granulare sull'accesso alle API e di report più granulari sul traffico API per app.

Crea uno sviluppatore

Per creare uno sviluppatore:

Seleziona Pubblica > Sviluppatori nel menu.
Nota: se sei ancora nella schermata Sviluppo, fai clic su "<" di SVILUPPO per visualizzare il menu e seleziona Pubblica > Sviluppatori.
Fai clic su + Sviluppatore.

Inserisci quanto segue nella finestra Nuovo sviluppatore:

In questo campo	Invio
Nome	`Keyser`
Cognome	`Soze`
Nome utente	`keyser`
Email	`keyser@example.com`

Fai clic su Crea.

Registra un'app

Per registrare un'app sviluppatore:

Seleziona Pubblica > App.
Fai clic su + App.

Inserisci quanto segue nella finestra Nuova app sviluppatore:

In questo campo	fai questo
Nome e Nome visualizzato	Inserisci: `keyser_app`
Developer	Seleziona: `Keyser Soze (keyser@example.com)`
Callback URL (URL di callback) e Notes	Lascia vuoto

Nella sezione Credenziali, seleziona Mai. Le credenziali per questa app non scadranno mai.
Fai clic su Aggiungi prodotto.
Seleziona il prodotto appena creato.
Fai clic su Crea.

Recuperare la chiave API

Per ottenere la chiave API:

Nella pagina delle app (Pubblica > App), fai clic su keyser_app.
Nella pagina keyser_app, fai clic su Mostra accanto a Chiave nella sezione Credenziali. Tieni presente che la chiave è associata al prodotto che hai creato.
Seleziona e copia la chiave. Lo utilizzerai nel passaggio successivo.

Chiama l'API con una chiave

Ora che disponi di una chiave API, puoi utilizzarla per chiamare il proxy API. Incolla la chiave API come mostrato, come parametro di query. Assicurati che non ci siano spazi aggiuntivi nel parametro di query.

curl -v -k https://YOUR_ENV_GROUP_HOSTNAME/helloapikey?apikey=your_api_key

Ora, quando chiami il proxy API, dovresti ricevere questa risposta: Hello, Guest!

Complimenti! Hai creato un proxy API e lo hai protetto richiedendo l'inclusione di una chiave API valida nella chiamata.

Tieni presente che, in generale, non è buona norma passare una chiave API come parametro di query. Dovresti valutare la possibilità di passarlo nell'intestazione HTTP.

Best practice: passaggio della chiave nell'intestazione HTTP

In questo passaggio modificherai il proxy in modo da cercare la chiave API in un'intestazione denominata x-apikey.

Modifica il proxy API. Seleziona Develop > API Proxy > helloworld_apikey e vai alla visualizzazione Develop.
Seleziona il criterio Verify API Key (Verifica chiave API) e modifica il file XML del criterio in modo che il criterio venga cercato in header anziché in queryparam:
```
<APIKey ref="request.header.x-apikey"/>
```
Salva il proxy API e utilizza Esegui il deployment per eseguirne il deployment.
Effettua la seguente chiamata API utilizzando cURL per passare la chiave API come intestazione denominata x-apikey. Non dimenticare di sostituire il nome dell'organizzazione.
```
curl -v -H "x-apikey: {api_key_goes_here}" http://YOUR_ENV_GROUP_HOSTNAME/helloapikey
```

Tieni presente che per completare la modifica, devi anche configurare il criterio Assegna messaggio per rimuovere l'intestazione anziché il parametro di query. Ad esempio:

<Remove>
  <Headers>
      <Header name="x-apikey"/>
  </Headers>
</Remove>

Nota: puoi anche passare la chiave API come parametro del modulo. In questo caso, il criterio Verifica della chiave API verrà configurato nel seguente modo:

<APIKey ref="request.formparam.{api_key_goes_here}"/>

Argomenti correlati

Ecco alcuni argomenti relativi ai prodotti e alle chiavi API:

La protezione delle API prevede spesso misure di sicurezza aggiuntive come OAuth, un protocollo aperto che scambia credenziali (come nome utente e password) per i token di accesso. I token di accesso sono lunghe stringhe casuali che possono essere trasmesse attraverso una pipeline di messaggi, anche da un'app all'altra, senza compromettere le credenziali originali.

Per una panoramica degli argomenti relativi alla sicurezza, consulta Protezione di un proxy.