Proteger uma API exigindo chaves de API

Esta página se aplica à Apigee e à Apigee híbrida.

Confira a documentação da Apigee Edge.

Vídeo: confira este vídeo curto para ver como proteger sua API.

O que você aprenderá

Neste tutorial, explicamos como:

  • Criar um proxy de API que exija uma chave de API.
  • Criar um produto de API, um desenvolvedor e um aplicativo de desenvolvedor.
  • Chamar a API com uma chave de API.

É importante proteger a API contra acesso não autorizado. Uma maneira de fazer isso é com chaves de API.

Quando um app faz uma solicitação a um proxy de API configurado para verificar uma chave de API, ele precisa fornecer uma chave válida. No ambiente de execução, a política "Verificar chave de API" verifica se a chave de API fornecida:

  • É válido
  • Não foi revogada
  • Corresponde à chave de API do produto de API que expõe os recursos solicitados

Se a chave for válida, a solicitação será permitida. Se a chave for inválida, a solicitação resultará em uma falha de autorização.

Criar o proxy de API

Siga estas etapas para criar um proxy de API usando a interface da Apigee:

  1. No console do Google Cloud , acesse a página Desenvolvimento de proxy > Proxies de API.

    Acessar proxies de API

  2. Selecione sua organização no seletor de projetos no painel do Google Cloud. O nome da organização é o mesmo que o nome do projeto do Google Cloud.
  3. Clique em Criar.
  4. No painel Criar um proxy, em Modelo de proxy, selecione Proxy reverso (mais comum). Um proxy reverso encaminha o tráfego de entrada para um serviço de back-end.
  5. Configure o proxy da seguinte maneira:
    Nome Valor
    Proxy Name helloworld_apikey
    Base Path

    /helloapikey

    O caminho base do projeto faz parte do URL usado para fazer solicitações ao proxy de API.
    Descrição hello world protected by API key
    Destino (API existente)

    http://mocktarget.apigee.net

    Isso define o URL de destino que a Apigee invoca em uma solicitação ao proxy de API. Esse destino retorna apenas uma resposta simples: Hello, Guest!.
  6. Clique em Próxima.
  7. Implantar (opcional). Deixe esses campos em branco.
  8. Clique em Criar.
  9. A Apigee cria o novo proxy e mostra o resumo dos detalhes no painel Resumo do proxy.

Ver as políticas

Siga estas etapas para conferir as políticas:

  1. No painel Resumo do proxy do proxy helloworld_apikey, clique na guia Desenvolver.
  2. No menu Políticas, clique em Adicionar política.
  3. No painel Criar política, em Segurança, selecione Verificar chave de API.
  4. No painel Verificar chave de API, preencha os campos obrigatórios nas seções Nome e Nome de exibição usando os seguintes valores:
    • Nome: insira um nome para a política. Por exemplo, VerifyAPIKey.
    • Nome de exibição: insira o nome da política para uso na interface. Por exemplo, Verify API Key.
  5. Clique em Criar.
  6. Clique em para adicionar outra política.
  7. No painel Criar política, em Mediação, selecione Atribuir mensagem.
  8. No painel Atribuir mensagem, preencha os campos obrigatórios nas seções Nome e Nome de exibição usando os seguintes valores:
    • Nome: insira um nome para a política. Por exemplo, AssignMessage.
    • Nome de exibição: insira o nome da política para uso na interface. Por exemplo, Assign Message.
  9. Clique em Criar.
  10. O elemento <APIKey> no código XML abaixo especifica o local da chave de API na solicitação recebida. Por padrão, a política recupera a chave de um parâmetro de consulta chamado apikey na solicitação HTTP. 
    <APIKey ref="request.queryparam.apikey" />

    O nome apikey é arbitrário e pode ser qualquer propriedade que contenha a chave de API.

  11. Atualize o conteúdo da política Atribuir mensagem para o seguinte: 
    12. <AssignMessage async="false" continueOnError="false" enabled="true" name="remove-query-param-apikey">
    <DisplayName>Remove Query Param apikey</DisplayName>
    <Remove>
        <QueryParams>
            <QueryParam name="apikey"/>
        </QueryParams>
    </Remove>
    <IgnoreUnresolvedVariables>true</IgnoreUnresolvedVariables>
    <AssignTo createNew="false" transport="http" type="request"/>
</AssignMessage>
  12. Adicione as políticas VerifyApiKey e Remove Query Param apikey.
    1. No menu Endpoints de proxy, clique em Preflow.
    2. No painel Solicitação do editor visual, clique em Adicionar etapa de política.
    3. No painel Adicionar etapa de política, selecione Verificar chave de API.
    4. Clique em Adicionar.
    5. No painel Solicitação do editor visual, clique em Adicionar etapa de política.
    6. No painel Adicionar etapa de política, selecione Remover apikey do parâmetro de consulta.
    7. Clique em Adicionar.
  13. Clique em Salvar.
  14. Implante o proxy em um ambiente:
    1. Clique em Implantar.
    2. Selecione uma Revisão e um Ambiente.
    3. Clique em Implantar.
  15. Teste suas mudanças chamando a API conforme descrito em Tentar chamar a API.

Tentar chamar a API

Nesta etapa, você fará uma chamada de API bem-sucedida diretamente para o serviço de destino e fará uma chamada sem sucesso para o proxy de API para ver como ela está sendo protegida pelas políticas.

  1. Sucesso

    Em um navegador da Web, acesse o endereço a seguir. Este é o serviço de destino para o qual o proxy da API está configurado para encaminhar a solicitação, mas você a alcançará diretamente por enquanto:

    http://mocktarget.apigee.net

    Você receberá esta resposta bem-sucedida: Hello, Guest!

  2. Falha

    Agora tente chamar seu proxy de API:

    curl -v -k https://YOUR_ENV_GROUP_HOSTNAME/helloapikey

    em que YOUR ENV_GROUP_HOSTNAME é o nome do host do grupo de ambiente. Consulte Encontrar o nome do host do grupo de ambientes.

    Sem a política "Verificar chave de API", essa chamada daria a mesma resposta que a chamada anterior. Nesse caso, você receberá a seguinte resposta de erro:

    {"fault":{"faultstring":"Failed to resolve API Key variable request.queryparam.apikey","detail":{"errorcode":"steps.oauth.v2.FailedToResolveAPIKey"}}}

    Isso significa que, corretamente, você não passou uma chave de API válida como um parâmetro de consulta.

Nas próximas etapas, você receberá a chave de API necessária.

Como adicionar um produto de API

Para adicionar um produto de API usando a IU da Apigee:

  1. No console do Google Cloud , acesse a página Distribuição > Produtos de API:

    Acessar produtos de API

  2. Clique em +Criar.
  3. Insira os detalhes do produto do produto de API.
    Campo Descrição
    Nome Nome interno do produto de API. Não especifique caracteres especiais no nome.
    Observação:não é possível editar o nome depois que o produto da API é criado.
    Nome de exibição Nome de exibição do produto de API. O nome de exibição é usado na UI e pode ser editado a qualquer momento. Se não for especificado, o valor Name será usado. Esse campo é preenchido automaticamente com o valor do Nome. Você pode editar ou excluir o conteúdo. O nome de exibição pode incluir caracteres especiais.
    Descrição Descrição do produto de API.
    Ambiente Ambientes em que o produto de API permitirá acesso. Por exemplo, test ou prod.
    Acesso Selecione Público.
    Aprovar automaticamente solicitações de acesso Ativar a aprovação automática das solicitações de chave deste produto de API em qualquer app.
    Cota Ignorar para este tutorial.
    Escopos do OAuth permitidos Ignorar para este tutorial.
  4. Na seção Operações, clique em Adicionar uma operação.
  5. No campo Proxy de API, selecione o proxy que você acabou de criar.
  6. No campo Caminho, digite "/". Ignore os outros campos.
  7. Clique em Salvar para salvar a operação.
  8. Clique em Salvar para salvar o produto da API.

Para mais informações sobre como adicionar um produto de API, consulte Criar um produto de API.

Adicionar um desenvolvedor e um app à sua organização

Em seguida, vamos simular o fluxo de trabalho de um desenvolvedor se inscrevendo para usar suas APIs. Um desenvolvedor terá um ou mais apps que chamam suas APIs, e cada app recebe uma chave exclusiva. Isso oferece a você, o provedor da API, um controle mais granular sobre o acesso às suas APIs e relatórios mais detalhados sobre o tráfego da API por aplicativo.

Crie um desenvolvedor

Para criar um desenvolvedor usando a interface da Apigee:

  1. No console do Google Cloud , acesse a página Distribuição > Desenvolvedores:

    Acessar "Desenvolvedores"

  2. Clique em Criar.
  3. Digite o seguinte na janela Adicionar desenvolvedor:
    Campo Valor
    Nome Keyser
    Sobrenome Soze
    E-mail keyser@example.com
    Nome de usuário keyser
  4. Clique em Adicionar.

Para mais informações sobre como criar um desenvolvedor, consulte Como registrar desenvolvedores de apps.

Registrar um aplicativo

Para registrar um app de desenvolvedor usando a interface da Apigee:

  1. No console do Google Cloud , acesse a página Distribuição > Apps:

    Acessar "Apps".

  2. Clique em Criar.
  3. Digite o seguinte na janela Criar app:
    Campo Valor
    Nome do app Insira: keyser_app
    Nome de exibição Insira: keyser_app
    Desenvolvedor Selecione: Keyser Soze (keyser@example.com)
    URL de callback Deixar em branco
    Observações Deixar em branco
  4. Na seção "Credenciais", clique em Adicionar credencial.
  5. Selecione Nunca. As credenciais deste aplicativo nunca expirarão.
  6. Clique em Adicionar produtos.
  7. Selecione o produto que você acabou de criar.
  8. Clique em Adicionar.
  9. Clique em Criar.

Para mais informações sobre como registrar um app, consulte Registrar um app.

Encontre a chave de API

Para acessar a chave de API usando a interface da Apigee:

  1. No console do Google Cloud , acesse a página Distribuição > Apps.

    Acessar "Apps".

  2. Selecione o app necessário na lista.
  3. Na página Ver app, em Credenciais, clique em ao lado do campo Chave. A chave está associada ao produto que você criou.
  4. Clique em Copiar. Você vai usar essa chave na próxima etapa.

Chamar a API com uma chave

Agora que você tem uma chave de API, pode usá-la para chamar o proxy de API. Cole a chave de API conforme mostrado, como um parâmetro de consulta. Verifique se não há espaços extras no parâmetro de consulta.

curl -v -k https://YOUR_ENV_GROUP_HOSTNAME/helloapikey?apikey=YOUR_API_KEY

Agora, ao chamar o proxy de API, você receberá esta resposta: Hello, Guest!

Parabéns! Você criou um proxy de API e o protegeu exigindo que uma chave de API válida fosse incluída na chamada.

Em geral, não é uma boa prática passar uma chave de API como um parâmetro de consulta. Considere passá-la no cabeçalho HTTP.

Prática recomendada: passar a chave no cabeçalho HTTP

Nesta etapa, você modificará o proxy para procurar a chave de API em um cabeçalho chamado x-apikey.

  1. No console do Google Cloud , acesse a página Desenvolvimento de proxy > Proxies de API.

    2. Acessar proxies de API

  2. Selecione o proxy necessário na lista.
  3. Na página Detalhes do proxy, clique em Desenvolver.
  4. Modifique o XML da política para que ela procure no cabeçalho e não no parâmetro de consulta:
    5. <APIKey ref="request.header.x-apikey"/>
  5. Clique em Salvar para armazenar as mudanças.
  6. Clique em Implantar.
  7. Selecione uma Revisão e um Ambiente.
  8. Clique em Implantar.

  9. Faça a seguinte chamada de API usando cURL para transmitir a chave de API como um cabeçalho chamado x-apikey. Não se esqueça de substituir o nome da sua organização.

    curl -v -H "x-apikey: YOUR_API_KEY" http://YOUR_ENV_GROUP_HOSTNAME/helloapikey

Para concluir a alteração, você também precisa configurar a política "Atribuir mensagem" para remover o cabeçalho em vez do parâmetro de consulta. Por exemplo:

<Remove>
  <Headers>
      <Header name="x-apikey"/>
  </Headers>
</Remove>

Temas relacionados

Veja alguns tópicos relacionados a produtos e chaves de API:

A proteção de APIs geralmente envolve mais segurança, como o OAuth, um protocolo aberto que troca credenciais (como nome de usuário e senha) para tokens de acesso. Os tokens de acesso são strings longas e aleatórias que podem ser transmitidas por um pipeline de mensagem, mesmo de um app para outro, sem comprometer as credenciais originais.

Para uma visão geral dos tópicos relacionados à segurança, consulte Como proteger um proxy.