Membatasi akses API dengan kunci API

Anda dapat menggunakan kunci API untuk membatasi akses ke metode API tertentu atau semua metode di API. Halaman ini menjelaskan cara membatasi akses API ke klien yang memiliki kunci API dan juga menunjukkan cara membuat kunci API.

Jika Anda menyetel persyaratan kunci API di API, permintaan ke metode, class, atau API yang dilindungi akan ditolak kecuali jika memiliki kunci yang dibuat di project Anda atau dalam project lain yang menjadi milik developer yang diberikan akses untuk mengaktifkan API Anda. Project tempat kunci API dibuat tidak akan dicatat dalam log dan tidak ditambahkan ke header permintaan. Namun, Anda dapat melihat project Google Cloud yang terkait dengan klien di halaman Layanan Endpoint, seperti yang dijelaskan dalam Memfilter project konsumen tertentu.

Untuk informasi tentang project Google Cloud tempat kunci API harus dibuat, lihat Berbagi API yang dilindungi oleh kunci API.

Membatasi akses ke semua metode API

Untuk mewajibkan kunci API untuk semua panggilan ke API, tambahkan api_key_required=True ke dekorator API Anda. Contoh:

@endpoints.api(name='echo', version='v1', api_key_required=True)
class EchoApi(remote.Service):
#...

Membatasi akses ke metode API tertentu

Untuk mewajibkan kunci API bagi semua panggilan ke metode API tertentu, tambahkan api_key_required=True ke dekorator metode API. Contoh:

endpoints.method(
  # This method takes an Echo message.
  ECHO_RESOURCE,
  # This method returns an Echo message.
  EchoResponse,
  path='echo',
  http_method='POST',
  name='echo_api_key',
  api_key_required=True)
def echo_api_key(self, request):
  output_content = '\n'.join([request.content] * request.n)
  return EchoResponse(content=output_content)

Menghapus pembatasan kunci API untuk suatu metode

Untuk menonaktifkan validasi kunci API untuk metode API atau API, hapus api_key_required=True (Python) atau apiKeyRequired = AnnotationBoolean.TRUE (Java) dari API atau dekorator atau anotasi metode Anda. Kemudian, kompilasi ulang dan deploy ulang.

Memanggil API menggunakan kunci API

Jika metode API atau API memerlukan kunci API, berikan kunci menggunakan parameter kueri bernama key, seperti yang ditunjukkan dalam contoh cURL ini:

curl \
    -H "Content-Type: application/json" \
    -X POST \
    -d '{"message": "echo"}' \
    "${HOST}/_ah/api/echo/v1/echo_api_key?key=${API_KEY}"

dengan HOST dan API_KEY adalah variabel yang masing-masing berisi nama host API dan kunci API Anda. Ganti echo dengan nama API Anda, dan v1 dengan versi API Anda.

Membagikan API yang dilindungi oleh kunci API

Kunci API dikaitkan dengan project Google Cloud tempat kunci tersebut dibuat. Jika Anda memutuskan untuk mewajibkan kunci API untuk API, project Google Cloud tempat kunci API dibuat akan bergantung pada jawaban atas pertanyaan berikut:

  • Apakah Anda perlu membedakan pemanggil API agar dapat menggunakan fitur Endpoint seperti quotas?
  • Apakah semua pemanggil API Anda memiliki project Google Cloud sendiri?
  • Apakah Anda perlu menyiapkan pembatasan kunci API yang berbeda?

Anda dapat menggunakan pohon keputusan berikut sebagai panduan untuk memutuskan project Google Cloud mana yang akan digunakan untuk membuat kunci API.

Pohon keputusan kunci API

Berikan izin untuk mengaktifkan API

Saat perlu membedakan pemanggil API Anda, dan setiap pemanggil memiliki project Google Cloud sendiri, Anda dapat memberikan izin kepada akun utama untuk mengaktifkan API dalam project Google Cloud-nya sendiri. Dengan cara ini, pengguna API Anda dapat membuat kunci API mereka sendiri untuk digunakan dengan API Anda.

Misalnya, anggaplah tim Anda telah membuat API untuk penggunaan internal oleh berbagai program klien di perusahaan Anda, dan setiap program klien memiliki project Google Cloud-nya sendiri. Untuk membedakan pemanggil dari API Anda, kunci API untuk setiap pemanggil harus dibuat di project Google Cloud yang berbeda. Anda dapat memberikan izin kepada rekan kerja untuk mengaktifkan API di project Google Cloud yang terkait dengan program klien.

Untuk mengizinkan pengguna membuat kunci API mereka sendiri:

  1. Pada project Google Cloud yang mengonfigurasi API Anda, berikan izin untuk mengaktifkan API kepada setiap pengguna.
  2. Hubungi pengguna, dan beri tahu bahwa mereka dapat mengaktifkan API Anda di project Google Cloud mereka sendiri dan membuat kunci API.

Membuat project Google Cloud terpisah untuk setiap pemanggil

Jika perlu membedakan pemanggil dari API Anda, dan tidak semua pemanggil memiliki project Google Cloud, Anda dapat membuat project Google Cloud dan kunci API yang terpisah untuk setiap pemanggil. Sebelum membuat project, pikirkan nama-nama project tersebut agar Anda dapat dengan mudah mengidentifikasi pemanggil yang terkait dengan project tersebut.

Misalnya, Anda memiliki pelanggan eksternal API, dan Anda tidak tahu bagaimana program klien yang memanggil API Anda dibuat. Mungkin sebagian klien menggunakan layanan Google Cloud dan memiliki project Google Cloud, dan mungkin sebagian tidak. Untuk membedakan pemanggil, Anda harus membuat project Google Cloud dan kunci API terpisah untuk setiap pemanggil.

Untuk membuat project Google Cloud dan kunci API yang terpisah bagi setiap pemanggil:

  1. Buat project terpisah untuk setiap pemanggil.
  2. Di setiap project, aktifkan API Anda dan buat kunci API.
  3. Berikan kunci API ke setiap pemanggil.

Membuat kunci API untuk setiap pemanggil

Jika tidak perlu membedakan pemanggil API, tetapi ingin menambahkan pembatasan kunci API, Anda dapat membuat kunci API terpisah untuk setiap pemanggil dalam project yang sama.

Untuk membuat kunci API bagi setiap pemanggil dalam project yang sama:

  1. Di project tempat API Anda dikonfigurasi, atau project tempat API Anda diaktifkan, buat kunci API untuk setiap pelanggan yang memiliki pembatasan kunci API yang Anda butuhkan.
  2. Berikan kunci API ke setiap pemanggil.

Membuat satu kunci API untuk semua pemanggil

Jika tidak perlu membedakan pemanggil dari API, dan tidak perlu menambahkan pembatasan API, tetapi Anda tetap ingin mewajibkan kunci API (misalnya, untuk mencegah akses anonim), Anda dapat membuat satu kunci API yang dapat digunakan oleh semua pemanggil.

Untuk membuat satu kunci API bagi semua pemanggil:
  1. Di project tempat API Anda dikonfigurasi, atau project tempat API Anda diaktifkan, buat kunci API untuk semua pemanggil.
  2. Berikan kunci API yang sama ke setiap pemanggil.

Langkah selanjutnya