Kunci API

Halaman ini berlaku untuk Apigee dan Apigee hybrid.

Lihat Dokumentasi Apigee Edge.

Kunci API (dikenal di Apigee sebagai kunci konsumen) adalah nilai string yang diteruskan oleh aplikasi klien ke proxy API Anda. Kunci secara unik mengidentifikasi aplikasi klien.

Validasi kunci API adalah bentuk keamanan berbasis aplikasi paling sederhana yang dapat Anda konfigurasi untuk Compute Engine API. Aplikasi klien hanya menyajikan kunci API dengan permintaannya, kemudian Apigee memeriksa untuk melihat kunci API dalam keadaan disetujui untuk resource yang diminta. Secara internal, menggunakan kebijakan untuk memverifikasi keaslian kunci API.

Untuk mendukung kesederhanaan ini, Anda perlu melakukan sedikit penyiapan. Untuk mendukung kunci API, Anda memerlukan menjadi:

  • Buat produk Apigee API yang menggabungkan proxy API yang ingin Anda melindunginya menggunakan kunci API.
  • Membuat aplikasi developer Apigee yang mewakili developer aplikasi klien yang aplikasinya akan Anda otentikasi.

    Dalam membuat aplikasi developer, Anda menentukan produk API yang akan dimiliki aplikasi developer akses ke -- dan untuk akses tersebut, Anda perlu menyediakan kunci API.

  • Untuk proxy (yang disertakan dalam produk API), tambahkan kebijakan untuk memverifikasi bahwa kunci API yang masuk valid.

Class Secure an API by memerlukan tutorial API adalah cara cepat untuk mempelajari cara mengontrol akses ke proxy API dengan kunci API.

Cara kerja kunci API

Di Apigee, kunci API disebut sebagai kunci konsumen. Saat mendaftarkan aplikasi pengembang, Apigee menghasilkan kunci dan rahasia konsumen. Apigee menyimpan kunci konsumen untuk masa mendatang validasi. Setiap kunci konsumen bersifat unik di organisasi. Pengembang aplikasi menyematkan kunci konsumen di aplikasi klien. Aplikasi klien harus menampilkan kunci konsumen untuk setiap permintaan. Layanan API memverifikasi kunci konsumen sebelum mengizinkan permintaan aplikasi.

Langkah-langkah tingkat tinggi

Langkah-langkah berikut menjelaskan cara kunci API digunakan oleh Apigee. Langkah-langkah ini mencakup keamanan OAuth juga, karena OAuth sering digunakan bersama dengan API tombol.

  1. Buat produk API yang menyertakan proxy API yang harus dilindungi dengan kunci API.
  2. Anda mendaftarkan aplikasi developer di organisasi Anda. Saat menggunakan Apigee menghasilkan kunci konsumen dan rahasia konsumen.
  3. Kaitkan aplikasi developer dengan minimal satu produk API. Ini adalah produk yang mengaitkan jalur resource dan proxy API dengan persetujuan kunci.
  4. Pada waktu proses, ketika aplikasi klien membuat permintaan ke API Anda, aplikasi klien mengirimkan kunci konsumen saat membuat permintaan. Dalam praktiknya, kunci konsumen mungkin diteruskan secara eksplisit atau mungkin secara implisit dirujuk melalui token OAuth:
    • Saat API menggunakan verifikasi kunci API -- seperti dengan menerapkan kebijakan VerifyAPIKey -- aplikasi klien harus meneruskan kunci konsumen secara eksplisit.
    • Saat API menggunakan verifikasi token OAuth -- misalnya dengan menerapkan kebijakan OAuthV2 -- aplikasi klien harus meneruskan token yang telah berasal dari konsumen tombol.
  5. Proxy API memvalidasi kredensial permintaan melalui Kebijakan VerifyAPIKey atau kebijakan OAuthV2 dengan operasi VerifyAccessToken. Jika Anda tidak menyertakan kebijakan penerapan kredensial di Proxy API Anda, pemanggil apa pun dapat berhasil memanggil API Anda. Untuk informasi selengkapnya, lihat Verifikasi Kunci API kebijakan kami.

Memverifikasi kredensial permintaan

Ini adalah ringkasan. Pastikan untuk melihat Menyiapkan kunci API validasi untuk detail dan contoh kode.

  1. Jika Anda menggunakan verifikasi token OAuth - Anda telah menerapkan kebijakan OAuth untuk memverifikasi dan aplikasi klien telah meneruskan token OAuth:
    • Apigee memverifikasi bahwa masa berlaku token belum berakhir, lalu mencari kunci konsumen yang digunakan untuk membuat token.
  2. Jika Anda menggunakan kunci API -- Anda telah menerapkan kebijakan VerifyAPIKey dan aplikasi klien telah melewati kunci konsumennya:
    1. Apigee memeriksa daftar Produk API yang telah digunakan dengan kunci konsumen yang terkait.
    2. Apigee memeriksa setiap Produk API untuk melihat apakah Proxy API saat ini disertakan dalam API Produk, dan jika jalur resource saat ini (jalur URL) diaktifkan pada Produk API.
    3. Apigee juga memverifikasi bahwa kunci konsumen tidak habis masa berlakunya atau dicabut, memeriksa apakah aplikasi tidak dicabut, dan memeriksa bahwa pengembang aktif.
    4. Jika semua hal tersebut benar -- masa berlaku token belum berakhir (jika berlaku), kunci konsumen valid dan disetujui, aplikasi disetujui, developer aktif, proxy dalam produk, dan resource tersedia di produk, yaitu kredensial verifikasi berhasil.