Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

אבטחה של הקילומטר האחרון

הדף הזה רלוונטי ל-Apigee ול-Apigee Hybrid.

לעיון במסמכי התיעוד של Apigee Edge

אבטחת המייל האחרון מגנה על השירותים לקצה העורפי שמועברים דרך שרתי proxy של API Services. המטרה העיקרית של אבטחת המייל האחרון היא למנוע התקפות שנקראות 'התקפות עוקפות', שבהן מפתח אפליקציות מגלה את כתובת ה-URL של שירות לקצה העורפי ועוקף את כל שרתי ה-proxy של ה-API כדי להגיע ישירות לכתובת ה-URL של הקצה העורפי.

אלה האפשרויות העיקריות להגדרת אבטחה של הקילומטר האחרון:

TLS/SSL של לקוח
אימות של תנועה יוצאת

TLS/SSL של לקוח

המנגנון העיקרי לאבטחת הקילומטר האחרון הוא TLS/SSL של הלקוח, שנקרא גם 'אימות הדדי'.

אפשרויות להגדרת TLS

אימות של תנועה יוצאת

אפשר גם לאכוף אבטחה של הקילומטר האחרון על ידי דרישה מ-proxy ל-API להציג פרטי כניסה לשירות לקצה העורפי.

לדוגמה, יכול להיות שתרצו ש-proxy ל-API יציג מפתח API לשירות לקצה העורפי שלכם. אפשר גם להשתמש ב-proxy ל-API כדי לקבל אסימון גישה של פרטי כניסה ללקוח OAuth ולהציג אותו.

מפתח API

אפשר להחיל מפתחות API על בקשות יוצאות משרתי proxy ל-API לשירותי backend. ההנחה היא ששירות לקצה העורפי הוא API שיכול להנפיק מפתחות API ולאמת אותם.

אם מגדירים proxy ל-API כדי להציג מפתח API בבקשות יוצאות, צריך לאחסן את מפתח ה-API במקום שבו ה-proxy ל-API יכול לאחזר אותו בזמן הריצה. אחת מהאפשרויות לאחסון מפתחות API היא מפה של מפתח/ערך. ראו מדיניות בנושא פעולות של Key Value Map.

אפשר להשתמש בסוג המדיניות AssignMessage כדי להוסיף את מפתח ה-API ככותרת HTTP, כפרמטר של שאילתה או כרכיב של מטען ייעודי (payload) לבקשה היוצאת. איך מקצים מדיניות להעברת הודעות

פרטי כניסה של לקוח OAuth

אפשר להשתמש בפרטי לקוח ב-OAuth כדי להוסיף שכבת ביטול למפתחות API. אם שירותי הקצה העורפי שלכם תומכים בפרטי כניסה של לקוח OAuth, אתם יכולים להגדיר proxy ל-API כדי להציג טוקן גישה של פרטי כניסה של לקוח לכל בקשה.

צריך להגדיר את ה-proxy ל-API כך שיבצע קריאה כדי לקבל את טוקן הגישה מנקודת הקצה של הטוקן. נדרש גם ש-proxy ל-API ישמור במטמון את טוקן הגישה, כדי שלא יקבל טוקן גישה חדש לכל קריאה.

יש כמה גישות להטמעה של פרטי כניסה של לקוח יוצא.

אפשר לשנות את הדוגמה הזו כדי לקרוא לנקודת הקצה של הטוקן ולקבל טוקן גישה. בדוגמה הזו נעשה שימוש ב-JavaScript כדי לצרף את הטוקן לבקשה היוצאת ככותרת הרשאה של HTTP. אפשר גם להשתמש במדיניות הקצאת הודעה למטרה הזו.

SAML

אפשר להשתמש בסוג המדיניות GenerateSAMLAssertion כדי לצרף הצהרת SAML להודעת בקשת XML יוצאת, מ-proxy ל-API לשירות קצה עורפי. כך שירות הקצה העורפי יכול לבצע אימות והרשאה לבקשות שמתקבלות מ-proxies ל-API.

סקירה כללית של מדיניות טענות נכוֹנוּת (assertions) של SAML