本頁內容適用於 Apigee 和 Apigee Hybrid。
查看
Apigee Edge 說明文件。
最後一哩安全措施可保護 API 服務代理的後端服務。最後一哩路安全防護的主要目標是防止所謂的「終端攻擊」,也就是應用程式開發人員發現後端服務的網址,並略過所有 API Proxy,直接連線至後端網址。
以下是設定最後一里安全措施的主要選項:
- 用戶端 TLS/SSL
- 外送驗證
用戶端 TLS/SSL
保護最後一哩路的主要機制是用戶端 TLS/SSL,又稱為「雙向驗證」。
請參閱「傳輸層安全標準 (TLS) 設定選項」。
外向驗證
您也可以要求 API Proxy 向後端服務提供憑證,藉此強制執行最後一哩路安全措施。
舉例來說,您可能希望 API Proxy 向後端服務提供 API 金鑰。您也可以讓 API Proxy 取得並提供 OAuth 用戶端憑證存取權杖。
API 金鑰
API 金鑰可套用至從 API Proxy 傳送至後端服務的外送要求。這項假設的前提是後端服務為 API,能夠核發及驗證 API 金鑰。
如果您設定 API Proxy,在傳送要求時提供 API 金鑰,就必須將 API 金鑰儲存在 API Proxy 在執行階段可擷取的位置。儲存 API 金鑰的位置之一是鍵/值對應。請參閱「鍵值對應作業政策」。
您可以使用 AssignMessage 政策類型,將 API 金鑰新增為外送要求的 HTTP 標頭、查詢參數或酬載元素。請參閱「指派訊息政策」。
OAuth 用戶端憑證
OAuth 用戶端憑證可用於為 API 金鑰新增撤銷層級。如果後端服務支援 OAuth 用戶端憑證,您可以設定 API Proxy,為每項要求提供用戶端憑證存取權杖。
您必須設定 API Proxy,才能執行回呼,從權杖端點取得存取權杖。API Proxy 也必須快取存取權杖,避免每次呼叫都取得新的存取權杖。
您可以使用多種方法實作外送用戶端憑證。
中,實作了使用用戶端憑證的有效 OAuth 外送範例。您可以修改這個範例,呼叫權杖端點來取得存取權杖。這個範例會使用 JavaScript,將權杖附加至外送要求,做為 HTTP 授權標頭。您也可以使用「指派訊息政策」達成這個目的。
SAML
GenerateSAMLAssertion 政策類型可用於將 SAML 判斷附加至從 API Proxy 傳送至後端服務的外送 XML 要求訊息。這樣一來,後端服務就能對 API Proxy 接收的要求執行驗證和授權。
請參閱 SAML 聲明政策。