Mengamankan API dengan mewajibkan kunci API

Halaman ini berlaku untuk Apigee dan Apigee Hybrid.

Lihat dokumentasi Apigee Edge.

Video: Tonton video singkat ini untuk mengetahui pengantar tentang cara mengamankan API Anda.

Yang akan Anda pelajari

Tutorial ini menjelaskan cara:

  • Buat proxy API yang memerlukan kunci API.
  • Buat produk API, developer, dan aplikasi developer.
  • Panggil API Anda dengan kunci API.

Anda harus melindungi API Anda dari akses yang tidak sah. Salah satu cara untuk melakukannya adalah dengan kunci API.

Saat aplikasi membuat permintaan ke proxy API yang dikonfigurasi untuk memverifikasi kunci API, aplikasi harus memberikan kunci yang valid. Saat runtime, kebijakan Verify API Key memeriksa apakah kunci API yang diberikan:

  • Valid
  • Belum dicabut
  • Mencocokkan kunci API untuk produk API yang mengekspos resource yang diminta

Jika kuncinya valid, permintaan akan diizinkan. Jika kunci tidak valid, permintaan akan menghasilkan kegagalan otorisasi.

Membuat proxy API

Apigee di Konsol Cloud

  1. Di konsol Google Cloud , buka halaman Proxy development > API proxies.

    Buka proxy API

  2. Pilih organisasi Anda dari pemilih project di panel Google Cloud. Nama organisasi sama dengan nama project Google Cloud Anda.
  3. Klik + Create.
  4. Di panel Create a proxy, di bagian Proxy template, pilih Reverse proxy (Most common). Reverse proxy mengarahkan traffic masuk ke layanan backend.
  5. Konfigurasikan proxy sebagai berikut:
    Nama Nilai
    Nama Proxy helloworld_apikey
    Jalur Dasar

    /helloapikey

    Jalur Dasar Project adalah bagian dari URL yang digunakan untuk membuat permintaan ke proxy API.
    Deskripsi hello world protected by API key
    Target (API yang Ada)

    http://mocktarget.apigee.net

    Ini menentukan URL target yang dipanggil Apigee pada permintaan ke proxy API. Target ini hanya menampilkan respons sederhana: Hello, Guest!.
  6. Klik Berikutnya.
  7. Deploy (opsional). Kosongkan kolom ini.
  8. Klik Buat.
  9. Apigee akan membuat proxy baru dan menampilkan ringkasan detail proxy di panel Proxy summary.

UI Klasik

  1. Buka UI Apigee dan login.
  2. Pilih organisasi Anda menggunakan menu drop-down di pojok kiri atas UI.

  3. Klik Develop > API Proxies untuk menampilkan daftar proxy API.

  4. Klik Buat Baru.
    Tombol Buat proxy
  5. Di wizard Build a Proxy, pilih Reverse proxy (most common).
  6. Konfigurasikan proxy sebagai berikut:
    Di kolom ini lakukan ini
    Nama Proxy Masukkan: helloworld_apikey
    Jalur Dasar Project

    Ubah menjadi: /helloapikey

    Jalur Dasar Project adalah bagian dari URL yang digunakan untuk membuat permintaan ke proxy API.
    Deskripsi Masukkan: hello world protected by API key
    Target (API yang Ada)

    Masukkan: http://mocktarget.apigee.net

    Ini menentukan URL target yang dipanggil Apigee pada permintaan ke proxy API. Target ini hanya menampilkan respons sederhana: Hello, Guest!.
  7. Klik Berikutnya.
  8. Di halaman Common policies, pilih API Key. Opsi ini otomatis menambahkan dua kebijakan ke proxy API Anda dan membuat produk API yang diperlukan untuk membuat kunci API.
  9. Klik Berikutnya.
  10. Di halaman Ringkasan, pastikan lingkungan deployment dipilih, lalu klik Buat dan deploy.
  11. Klik Edit proxy untuk menampilkan halaman Ringkasan untuk proxy API.

Melihat kebijakan

Apigee di Konsol Cloud

  1. Di panel Proxy summary untuk proxy helloworld_apikey, klik tab Develop.
  2. Di menu Policies, klik Add policy.
  3. Di panel Create policy, di bagian Security, pilih Verify API Key.
  4. Di panel Verifikasi Kunci API, selesaikan kolom wajib diisi di bagian Nama dan Nama tampilan menggunakan nilai berikut:
    • Name: Masukkan nama kebijakan. Contoh, VerifyAPIKey.
    • Display name: Masukkan nama kebijakan untuk digunakan di UI. Contoh, Verify API Key.
  5. Klik Buat.
  6. Klik untuk menambahkan kebijakan lain.
  7. Di panel Create policy, di bagian Mediation, pilih Assign Message.
  8. Di panel Tetapkan Pesan, selesaikan kolom wajib diisi di bagian Nama dan Nama tampilan menggunakan nilai berikut:
    • Name: Masukkan nama kebijakan. Contoh, AssignMessage.
    • Display name: Masukkan nama kebijakan untuk digunakan di UI. Contoh, Assign Message.
  9. Klik Buat.
  10. Elemen <APIKey> dalam kode XML di bawah menentukan lokasi kunci API dalam permintaan masuk. Secara default, kebijakan mengambil kunci dari parameter kueri bernama apikey dalam permintaan HTTP. 
    <APIKey ref="request.queryparam.apikey" />

    Nama apikey bersifat arbitrer dan dapat berupa properti apa pun yang berisi kunci API.

  11. Perbarui konten kebijakan Tetapkan Pesan menjadi berikut: 
    12. <AssignMessage async="false" continueOnError="false" enabled="true" name="remove-query-param-apikey">
    <DisplayName>Remove Query Param apikey</DisplayName>
    <Remove>
        <QueryParams>
            <QueryParam name="apikey"/>
        </QueryParams>
    </Remove>
    <IgnoreUnresolvedVariables>true</IgnoreUnresolvedVariables>
    <AssignTo createNew="false" transport="http" type="request"/>
</AssignMessage>
  12. Tambahkan kebijakan VerifyApiKey dan Remove Query Param apikey.
    1. Di menu Proxy endpoints, klik Preflow.
    2. Di panel Request pada editor visual, klik Add policy step.
    3. Di panel Add policy step, pilih Verify API Key.
    4. Klik Tambahkan.
    5. Di panel Request pada editor visual, klik Add policy step.
    6. Di panel Add policy step, pilih Remove Query Param apikey.
    7. Klik Tambahkan.
  13. Klik Simpan.
  14. Men-deploy proxy ke lingkungan:
    1. Klik Deploy.
    2. Pilih Revisi dan Lingkungan.
    3. Klik Deploy.
  15. Uji perubahan Anda dengan memanggil API seperti yang dijelaskan dalam Mencoba memanggil API.

UI Klasik

  1. Di editor proxy API, klik tab Develop. Anda akan melihat bahwa dua kebijakan telah ditambahkan ke alur permintaan proxy API:
    • Verifikasi Kunci API – Memeriksa panggilan API untuk memastikan kunci API yang valid ada (dikirim sebagai parameter kueri).
    • Remove Query Param apikey – Kebijakan Assign Message yang menghapus kunci API setelah diperiksa, sehingga tidak diteruskan dan diekspos secara tidak perlu.

  2. Klik ikon kebijakan Verify API Key di tampilan alur, dan lihat konfigurasi XML kebijakan di tampilan kode bawah. Elemen <APIKey> memberi tahu kebijakan tempat kunci API harus dicari saat panggilan dilakukan. Secara default, fungsi ini mencari kunci sebagai parameter kueri yang disebut apikey dalam permintaan HTTP:

    <APIKey ref="request.queryparam.apikey" />

    Nama apikey bersifat arbitrer dan dapat berupa properti apa pun yang berisi kunci API.

Mencoba memanggil API

Pada langkah ini, Anda akan melakukan panggilan API yang berhasil langsung ke layanan target, lalu Anda akan melakukan panggilan yang gagal ke proxy API untuk melihat cara proxy API dilindungi oleh kebijakan.

  1. Berhasil

    Di browser web, buka alamat berikut. Ini adalah layanan target yang dikonfigurasi oleh proxy API untuk meneruskan permintaan, tetapi Anda akan langsung mengaksesnya untuk saat ini:

    http://mocktarget.apigee.net

    Anda akan mendapatkan respons yang berhasil ini: Hello, Guest!

  2. Kegagalan

    Sekarang coba panggil proxy API Anda:

    curl -v -k https://YOUR_ENV_GROUP_HOSTNAME/helloapikey

    dengan YOUR ENV_GROUP_HOSTNAME adalah nama host grup lingkungan. Lihat Menemukan nama host grup lingkungan.

    Tanpa kebijakan Verify API Key, panggilan ini akan memberikan respons yang sama dengan panggilan sebelumnya. Namun dalam kasus ini, Anda akan mendapatkan respons error berikut:

    {"fault":{"faultstring":"Failed to resolve API Key variable request.queryparam.apikey","detail":{"errorcode":"steps.oauth.v2.FailedToResolveAPIKey"}}}

    yang berarti, dengan benar, bahwa Anda tidak meneruskan kunci API yang valid (sebagai parameter kueri).

Pada langkah berikutnya, Anda akan mendapatkan kunci API yang diperlukan.

Menambahkan produk API

Apigee di Konsol Cloud

Untuk menambahkan produk API menggunakan UI Apigee:

  1. Di konsol Google Cloud , buka halaman Distribution > API products:

    Buka produk API

  2. Klik +Create.
  3. Masukkan Detail produk untuk produk API Anda.
    Kolom Deskripsi
    Nama Nama internal produk API. Jangan tentukan karakter khusus dalam nama.
    Catatan: Anda tidak dapat mengedit nama setelah produk API dibuat.
    Nama tampilan Nama tampilan untuk produk API. Nama tampilan digunakan di UI dan Anda dapat mengeditnya kapan saja. Jika tidak ditentukan, nilai Name akan digunakan. Kolom ini diisi otomatis menggunakan nilai Nama; Anda dapat mengedit atau menghapus isinya. Nama tampilan dapat menyertakan karakter khusus.
    Deskripsi Deskripsi produk API.
    Lingkungan Lingkungan yang akan diizinkan aksesnya oleh produk API. Misalnya, test atau prod.
    Akses Pilih Public.
    Menyetujui permintaan akses secara otomatis Aktifkan persetujuan otomatis permintaan kunci untuk produk API ini dari aplikasi mana pun.
    Kuota Abaikan untuk tutorial ini.
    Cakupan OAuth yang Diizinkan Abaikan untuk tutorial ini.
  4. Di bagian Operations, klik Add an operation.
  5. Di kolom API Proxy, pilih proxy API yang baru saja Anda buat.
  6. Di kolom Jalur, masukkan "/". Abaikan kolom lainnya.
  7. Klik Simpan untuk menyimpan operasi.
  8. Klik Simpan untuk menyimpan produk API.

Untuk mengetahui informasi selengkapnya tentang cara menambahkan produk API, lihat Membuat produk API.

UI Klasik

Untuk menambahkan produk API menggunakan UI Apigee:

  1. Pilih Publikasikan > Produk API.
  2. Klik +Create.
  3. Masukkan Detail Produk untuk produk API Anda.
    Kolom Deskripsi
    Nama Nama internal produk API. Jangan tentukan karakter khusus dalam nama.
    Catatan: Anda tidak dapat mengedit nama setelah produk API dibuat.
    Nama tampilan Nama tampilan untuk produk API. Nama tampilan digunakan di UI dan Anda dapat mengeditnya kapan saja. Jika tidak ditentukan, nilai Nama akan digunakan. Kolom ini diisi otomatis menggunakan nilai Nama; Anda dapat mengedit atau menghapus isinya. Nama tampilan dapat menyertakan karakter khusus.
    Deskripsi Deskripsi produk API.
    Lingkungan Lingkungan yang akan diizinkan aksesnya oleh produk API. Misalnya test atau prod.
    Akses Pilih Public.
    Menyetujui permintaan akses secara otomatis Aktifkan persetujuan otomatis permintaan kunci untuk produk API ini dari aplikasi mana pun.
    Kuota Abaikan untuk tutorial ini.
    Cakupan OAuth yang Diizinkan Abaikan untuk tutorial ini.
  4. Di bagian Operations, klik ADD AN OPERATION.
  5. Di kolom API Proxy, pilih proxy API yang baru saja Anda buat.
  6. Di kolom Jalur, masukkan "/". Abaikan kolom lainnya.
  7. Klik Simpan untuk menyimpan Operasi.
  8. Klik Simpan untuk menyimpan produk API.

Menambahkan developer dan aplikasi ke organisasi Anda

Selanjutnya, kita akan menyimulasikan alur kerja developer yang mendaftar untuk menggunakan API Anda. Developer akan memiliki satu atau beberapa aplikasi yang memanggil API Anda, dan setiap aplikasi mendapatkan kunci API unik. Hal ini memberi Anda, penyedia API, kontrol yang lebih terperinci atas akses ke API Anda dan pelaporan yang lebih terperinci tentang traffic API menurut aplikasi.

Membuat developer

Apigee di Konsol Cloud

Untuk membuat developer:

  1. Di konsol Google Cloud , buka halaman Distribution > Developers:

    Buka Developer

  2. Klik + Create.
  3. Masukkan informasi berikut di jendela Tambahkan Developer:
    Kolom Nilai
    Nama Depan Keyser
    Nama Belakang Soze
    Email keyser@example.com
    Username keyser
  4. Klik Tambahkan.

Untuk mengetahui informasi selengkapnya tentang cara membuat developer, lihat Mendaftarkan developer aplikasi.

UI Klasik

Untuk membuat developer:

  1. Pilih Publikasikan > Developer di menu.
    Catatan: Jika Anda masih berada di layar Develop, klik "<" di samping DEVELOP untuk menampilkan menu, lalu pilih Publish > Developers
  2. Klik + Developer.
  3. Masukkan info berikut di jendela Developer Baru:
    Di kolom ini enter
    Nama Depan Keyser
    Nama Belakang Soze
    Username keyser
    Email keyser@example.com
  4. Klik Buat.

Mendaftarkan aplikasi

Apigee di Konsol Cloud

  1. Di konsol Google Cloud , buka halaman Distribution > Apps:

    Buka Aplikasi

  2. Klik + Create.
  3. Masukkan informasi berikut di jendela Create App:
    Kolom Nilai
    Nama Aplikasi Masukkan: keyser_app
    Display Name Masukkan: keyser_app
    Developer Pilih: Keyser Soze (keyser@example.com)
    URL Callback Biarkan kosong
    Catatan Biarkan kosong
  4. Di bagian Kredensial, klik Tambahkan kredensial.
  5. Pilih Jangan pernah. Masa berlaku kredensial untuk aplikasi ini tidak akan pernah berakhir.
  6. Klik Tambahkan produk.
  7. Pilih produk yang baru saja Anda buat.
  8. Klik Tambahkan.
  9. Klik Buat.

Untuk mengetahui informasi selengkapnya tentang mendaftarkan aplikasi, lihat Mendaftarkan aplikasi.

UI Klasik

Untuk mendaftarkan aplikasi developer:

  1. Pilih Publikasikan > Aplikasi.
  2. Klik + Aplikasi.
  3. Masukkan hal berikut di jendela Aplikasi Developer Baru:
    Kolom Nilai
    Nama dan Nama Tampilan Masukkan: keyser_app
    Developer Pilih: Keyser Soze (keyser@example.com)
    URL callback dan Catatan Biarkan kosong
  4. Di bagian Kredensial, pilih Jangan Pernah. Masa berlaku kredensial untuk aplikasi ini tidak akan pernah berakhir.
  5. Klik Tambahkan produk.
  6. Pilih produk yang baru saja Anda buat.
  7. Klik Buat.

Mendapatkan kunci API

Apigee di Konsol Cloud

Untuk mendapatkan kunci API:

  1. Di konsol Google Cloud , buka halaman Distribution > Apps.

    Buka Aplikasi

  2. Pilih aplikasi yang diperlukan dari daftar aplikasi.
  3. Di halaman Lihat aplikasi, di bagian Kredensial, klik di samping kolom Kunci. Perhatikan bahwa kunci dikaitkan dengan produk yang Anda buat.
  4. Klik Salin. Anda akan menggunakan kunci ini di langkah berikutnya.

UI Klasik

Untuk mendapatkan kunci API:

  1. Di halaman Aplikasi (Publikasikan > Aplikasi), klik keyser_app.
  2. Di halaman keyser_app, klik Show di samping Key di bagian Credentials. Perhatikan bahwa kunci dikaitkan dengan produk yang Anda buat.
  3. Pilih dan salin kunci. Anda akan menggunakannya pada langkah berikutnya.

Memanggil API dengan kunci

Setelah memiliki kunci API, Anda dapat menggunakannya untuk memanggil proxy API. Tempelkan kunci API seperti yang ditunjukkan, sebagai parameter kueri. Pastikan tidak ada spasi ekstra dalam parameter kueri.

curl -v -k https://YOUR_ENV_GROUP_HOSTNAME/helloapikey?apikey=YOUR_API_KEY

Sekarang saat memanggil proxy API, Anda akan mendapatkan respons ini: Hello, Guest!

Selamat! Anda telah membuat proxy API dan melindunginya dengan mewajibkan kunci API yang valid disertakan dalam panggilan.

Perhatikan bahwa secara umum, meneruskan kunci API sebagai parameter kueri bukanlah praktik yang baik. Sebaiknya teruskan di header HTTP.

Praktik terbaik: Meneruskan kunci di header HTTP

Pada langkah ini, Anda akan mengubah proxy untuk mencari kunci API di header yang disebut x-apikey.

Apigee di Konsol Cloud

  1. Di konsol Google Cloud , buka halaman Proxy development > API proxies.

    2. Buka proxy API

  2. Pilih proxy yang diperlukan dari daftar proxy.
  3. Di halaman Proxy details, klik Develop.
  4. Ubah XML kebijakan untuk memberi tahu kebijakan agar mencari di header, bukan di queryparam:
    5. <APIKey ref="request.header.x-apikey"/>
  5. Klik Save untuk menyimpan perubahan.
  6. Klik Deploy.
  7. Pilih Revisi dan Lingkungan.
  8. Klik Deploy.

  9. Lakukan panggilan API berikut menggunakan cURL untuk meneruskan kunci API sebagai header yang disebut x-apikey. Jangan lupa untuk mengganti nama organisasi Anda.

    curl -v -H "x-apikey: YOUR_API_KEY" http://YOUR_ENV_GROUP_HOSTNAME/helloapikey

Perhatikan bahwa untuk menyelesaikan perubahan sepenuhnya, Anda juga perlu mengonfigurasi kebijakan Tetapkan Pesan untuk menghapus header, bukan parameter kueri. Contoh:

<Remove>
  <Headers>
      <Header name="x-apikey"/>
  </Headers>
</Remove>

UI Klasik

  1. Edit proxy API. Pilih Develop > API Proxies > helloworld_apikey, lalu buka tampilan Develop.

  2. Pilih kebijakan Verify API Key, dan ubah XML kebijakan untuk memberi tahu kebijakan agar mencari di header, bukan di queryparam:

    <APIKey ref="request.header.x-apikey"/>
  3. Simpan proxy API dan gunakan Deploy untuk men-deploy-nya.

  4. Lakukan panggilan API berikut menggunakan cURL untuk meneruskan kunci API sebagai header yang disebut x-apikey. Jangan lupa untuk mengganti nama organisasi Anda.

    curl -v -H "x-apikey: {api_key_goes_here}" http://YOUR_ENV_GROUP_HOSTNAME/helloapikey

Perhatikan bahwa untuk menyelesaikan perubahan sepenuhnya, Anda juga perlu mengonfigurasi kebijakan Tetapkan Pesan untuk menghapus header, bukan parameter kueri. Contoh:

<Remove>
  <Headers>
      <Header name="x-apikey"/>
  </Headers>
</Remove>

Topik terkait

Berikut beberapa topik terkait produk dan kunci API:

Perlindungan API sering kali melibatkan keamanan tambahan seperti OAuth, sebuah protokol terbuka yang menukar kredensial (seperti nama pengguna dan sandi) dengan token akses. Token akses adalah string panjang acak yang dapat diteruskan melalui pipeline pesan, termasuk dari aplikasi ke aplikasi, tanpa membahayakan kredensial asli.

Untuk ringkasan topik terkait keamanan, lihat Mengamankan proxy.