API sichern, indem Sie API-Schlüssel anfordern

Diese Seite gilt für Apigee und Apigee Hybrid.

Apigee Edge-Dokumentation aufrufen

Video: In diesem kurzen Video erfahren Sie, wie Sie Ihre API sichern.

Aufgaben in diesem Lab

In dieser Anleitung wird Folgendes erläutert:

  • Erstellen Sie einen API-Proxy, der einen API-Schlüssel erfordert.
  • Erstellen Sie ein API-Produkt, einen Entwickler und eine Entwickler-App.
  • API mit einem API-Schlüssel aufrufen

Es ist wichtig, Ihre API vor nicht autorisiertem Zugriff zu schützen. Eine Möglichkeit hierfür ist API-Schlüssel.

Wenn eine Anwendung eine Anfrage an einen API-Proxy sendet, der zum Prüfen eines API-Schlüssels konfiguriert ist, muss die Anwendung einen gültigen Schlüssel bereitstellen. Zur Laufzeit prüft die API-Schlüsselrichtlinie, ob der bereitgestellte API-Schlüssel angegeben wurde:

  • Ist gültig
  • Wurde nicht widerrufen
  • Entspricht dem API-Schlüssel für das API-Produkt, das die angeforderten Ressourcen bereitstellt.

Wenn der Schlüssel gültig ist, ist die Anfrage zulässig. Ist der Schlüssel ungültig, führt die Anfrage zu einem Autorisierungsfehler.

API-Proxy erstellen

So erstellen Sie einen API-Proxy über die Apigee-UI:

  1. Rufen Sie in der Google Cloud Console die Seite Proxy-Entwicklung > API-Proxys auf.

    Zu „API-Proxys“

  2. Wählen Sie im Google Cloud-Bereich in der Projektauswahl Ihre Organisation aus. Der Name der Organisation entspricht dem Namen Ihres Google Cloud-Projekts.
  3. Klicken Sie auf + Erstellen.
  4. Wählen Sie im Bereich Proxy erstellen unter Proxy-Vorlage die Option Reverse-Proxy (häufigste Quelle) aus. Ein Reverse-Proxy leitet eingehenden Traffic an einen Back-End-Dienst weiter.
  5. Konfigurieren Sie den Proxy so:
    Name Wert
    Proxy-Name helloworld_apikey
    Basispfad

    /helloapikey

    Der Projektbasispfad ist Teil der URL, die für Anfragen an den API-Proxy verwendet wird.
    Beschreibung hello world protected by API key
    Ziel (vorhandene API)

    http://mocktarget.apigee.net

    Dies definiert die Ziel-URL, die Apigee für eine Anfrage an den API-Proxy aufruft. Dieses Ziel gibt einfach eine einfache Antwort zurück: Hello, Guest!.
  6. Klicken Sie auf Weiter.
  7. Bereitstellen (optional). Lassen Sie diese Felder leer.
  8. Klicken Sie auf Erstellen.
  9. Apigee erstellt den neuen Proxy und zeigt die Zusammenfassung der Proxydetails im Bereich Proxy-Zusammenfassung an.

Richtlinien ansehen

So rufen Sie die Richtlinien auf:

  1. Klicken Sie im Bereich Proxy summary für den Proxy helloworld_apikey auf den Tab Develop.
  2. Klicken Sie im Menü Richtlinien auf  Richtlinie hinzufügen.
  3. Wählen Sie im Bereich Richtlinie erstellen unter Sicherheit die Option API-Schlüssel überprüfen aus.
  4. Füllen Sie im Bereich API-Schlüssel überprüfen die erforderlichen Felder in den Abschnitten Name und Anzeigename mit den folgenden Werten aus:
    • Name: Geben Sie einen Richtliniennamen ein. Beispiel: VerifyAPIKey.
    • Anzeigename: Geben Sie den Namen der Richtlinie ein, der in der Benutzeroberfläche verwendet werden soll. Beispiel: Verify API Key.
  5. Klicken Sie auf Erstellen.
  6. Klicken Sie auf , um eine weitere Richtlinie hinzuzufügen.
  7. Wählen Sie im Bereich Richtlinie erstellen unter Mediation die Option Nachricht zuweisen aus.
  8. Füllen Sie im Bereich Assign Message (Mitteilung zuweisen) die erforderlichen Felder in den Abschnitten Name (Name) und Display name (Anzeigename) mit den folgenden Werten aus:
    • Name: Geben Sie einen Richtliniennamen ein. Beispiel: AssignMessage.
    • Anzeigename: Geben Sie den Namen der Richtlinie ein, der in der Benutzeroberfläche verwendet werden soll. Beispiel: Assign Message.
  9. Klicken Sie auf Erstellen.
  10. Das <APIKey>-Element im folgenden XML-Code gibt den Speicherort des API-Schlüssels in der eingehenden Anfrage an. Standardmäßig ruft die Richtlinie den Schlüssel aus einem Abfrageparameter namens apikey in der HTTP-Anfrage ab. 
    <APIKey ref="request.queryparam.apikey" />

    Der Name apikey ist beliebig. Dies kann ein beliebiges Attribut sein, das den API-Schlüssel enthält.

  11. Aktualisieren Sie den Inhalt der Richtlinie Assign Message (Nachricht zuweisen) auf Folgendes: 
    12. <AssignMessage async="false" continueOnError="false" enabled="true" name="remove-query-param-apikey">
    <DisplayName>Remove Query Param apikey</DisplayName>
    <Remove>
        <QueryParams>
            <QueryParam name="apikey"/>
        </QueryParams>
    </Remove>
    <IgnoreUnresolvedVariables>true</IgnoreUnresolvedVariables>
    <AssignTo createNew="false" transport="http" type="request"/>
</AssignMessage>
  12. Fügen Sie die Richtlinien VerifyApiKey und Remove Query Param apikey hinzu.
    1. Klicken Sie im Menü Proxy-Endpunkte auf PreFlow.
    2. Klicken Sie im Bereich Anfrage des visuellen Editors auf  Richtlinienschritt hinzufügen.
    3. Wählen Sie im Bereich Richtlinienschritt hinzufügen die Option API-Schlüssel überprüfen aus.
    4. Klicken Sie auf Hinzufügen.
    5. Klicken Sie im Bereich Anfrage des visuellen Editors auf  Richtlinienschritt hinzufügen.
    6. Wählen Sie im Bereich Richtlinienschritt hinzufügen die Option Entfernen des Abfrageparameters „apikey“ aus.
    7. Klicken Sie auf Hinzufügen.
  13. Klicken Sie auf Speichern.
  14. Proxy in einer Umgebung bereitstellen:
    1. Klicken Sie auf Bereitstellen.
    2. Wählen Sie eine Überarbeitung und eine Umgebung aus.
    3. Klicken Sie auf Bereitstellen.
  15. Testen Sie Ihre Änderungen, indem Sie die API wie unter API aufrufen beschrieben aufrufen.

Versuchen Sie, die API aufzurufen

In diesem Schritt führen Sie einen erfolgreichen API-Aufruf direkt an den Zieldienst aus. Anschließend führen Sie einen fehlgeschlagenen Aufruf an den API-Proxy durch, um festzustellen, wie er durch die Richtlinien geschützt wird.

  1. Erfolg

    Rufen Sie in einem Webbrowser die folgende Adresse auf. Dies ist der Zieldienst, für den der API-Proxy zur Weiterleitung der Anfrage konfiguriert ist. Sie leiten ihn jedoch vorerst weiter:

    http://mocktarget.apigee.net

    Sie sollten folgende erfolgreiche Antwort erhalten: Hello, Guest!.

  2. Fehler

    Versuchen Sie nun, den API-Proxy aufzurufen:

    curl -v -k https://YOUR_ENV_GROUP_HOSTNAME/helloapikey

    Dabei ist YOUR ENV_GROUP_HOSTNAME der Hostname der Umgebungsgruppe. Weitere Informationen finden Sie unter Hostname der Umgebungsgruppe finden.

    Ohne die Richtlinie „API-Schlüssel überprüfen“ würde dieser Aufruf die gleiche Antwort wie der vorherige Aufruf liefern. In diesem Fall erhalten Sie jedoch die folgende Fehlermeldung:

    {"fault":{"faultstring":"Failed to resolve API Key variable request.queryparam.apikey","detail":{"errorcode":"steps.oauth.v2.FailedToResolveAPIKey"}}}

    Das heißt richtigerweise, dass Sie keinen gültigen API-Schlüssel als Abfrageparameter übergeben haben.

In den nächsten Schritten erhalten Sie den erforderlichen API-Schlüssel.

API-Produkt hinzufügen

So fügen Sie ein API-Produkt über die Apigee-Benutzeroberfläche hinzu:

  1. Rufen Sie in der Google Cloud Console die Seite Verteilung > API-Produkte auf:

    Zu den API-Produkten

  2. Klicken Sie auf +Erstellen.
  3. Geben Sie die Produktdetails für Ihr API-Produkt ein.
    Feld Beschreibung
    Name Interner Name des API-Produkts. Geben Sie im Namen keine Sonderzeichen an.
    Hinweis:Sobald das API-Produkt erstellt wurde, können Sie den Namen nicht mehr ändern.
    Anzeigename Anzeigename für das API-Produkt. Der Anzeigename wird in der Benutzeroberfläche verwendet und kann jederzeit bearbeitet werden. Wenn keine Angabe erfolgt, wird der Wert Name verwendet. Dieses Feld wird automatisch mit dem Wert Name ausgefüllt. Sie können den Inhalt bearbeiten oder löschen. Der Anzeigename kann Sonderzeichen enthalten.
    Beschreibung Beschreibung des API-Produkts.
    Umgebung Umgebungen, auf die das API-Produkt Zugriff gewährt. Beispiel: test oder prod.
    Zugriff Wählen Sie Öffentlich aus.
    Zugriffsanfragen automatisch genehmigen Aktivieren Sie die automatische Genehmigung von Schlüsselanfragen für dieses API-Produkt aus einer beliebigen Anwendung.
    Kontingent Für diese Anleitung ignorieren.
    Erlaubte OAuth-Bereiche Für diese Anleitung ignorieren.
  4. Klicken Sie im Bereich Vorgänge auf Vorgang hinzufügen.
  5. Wählen Sie im Feld API-Proxy den soeben erstellten API-Proxy aus.
  6. Geben Sie im Feld Pfad „/“ ein. Ignorieren Sie die anderen Felder.
  7. Klicken Sie auf Speichern, um den Vorgang zu speichern.
  8. Klicken Sie auf Speichern, um das API-Produkt zu speichern.

Weitere Informationen zum Hinzufügen eines API-Produkts finden Sie unter API-Produkt erstellen.

Einen Entwickler und eine App zur Organisation hinzufügen

Als Nächstes simulieren wir den Workflow eines Entwicklers, der sich registriert, um Ihre APIs zu verwenden. Ein Entwickler hat eine oder mehrere Anwendungen, die Ihre APIs aufrufen, und jede Anwendung erhält einen eindeutigen API-Schlüssel. Dadurch erhalten Sie als API-Anbieter eine bessere Kontrolle über den Zugriff auf Ihre APIs und detailliertere Berichte zum API-Traffic nach App.

Entwickler erstellen

So erstellen Sie einen Entwickler über die Apigee-Benutzeroberfläche:

  1. Rufen Sie in der Google Cloud Console die Seite Verteilung > Entwickler auf:

    Zu „Entwickler“

  2. Klicken Sie auf + Erstellen.
  3. Geben Sie im Fenster Entwickler hinzufügen Folgendes ein:
    Feld Wert
    Vorname Keyser
    Nachname Soze
    E-Mail keyser@example.com
    Nutzername keyser
  4. Klicken Sie auf Hinzufügen.

Weitere Informationen zum Erstellen eines Entwicklers finden Sie unter App-Entwickler registrieren.

App registrieren

So registrieren Sie eine Entwickler-App über die Apigee-Benutzeroberfläche:

  1. Rufen Sie in der Google Cloud Console die Seite Verteilung > Apps auf:

    Zu Apps wechseln

  2. Klicken Sie auf + Erstellen.
  3. Geben Sie im Fenster App erstellen Folgendes ein:
    Feld Wert
    App-Name Eingeben: keyser_app
    Anzeigename Eingeben: keyser_app
    Developer Wählen Sie Keyser Soze (keyser@example.com) aus.
    Callback-URL Leer lassen
    Hinweise Leer lassen
  4. Klicken Sie im Abschnitt „Anmeldedaten“ auf Anmeldedaten hinzufügen.
  5. Wählen Sie Nie aus. Die Anmeldedaten für diese Anwendung laufen nie ab.
  6. Klicken Sie auf Produkte hinzufügen.
  7. Wählen Sie das Produkt aus, das Sie gerade erstellt haben.
  8. Klicken Sie auf Hinzufügen.
  9. Klicken Sie auf Erstellen.

Weitere Informationen zum Registrieren einer App finden Sie unter App registrieren.

API-Schlüssel abrufen

So rufen Sie den API-Schlüssel über die Apigee-Benutzeroberfläche ab:

  1. Rufen Sie in der Google Cloud Console die Seite Verteilung > Apps auf.

    Zu Apps wechseln

  2. Wählen Sie die gewünschte App aus der Liste der Apps aus.
  3. Klicken Sie auf der Seite App ansehen unter Anmeldedaten neben dem Feld Schlüssel auf . Beachten Sie, dass der Schlüssel mit dem von Ihnen erstellten Produkt verknüpft ist.
  4. Klicken Sie auf  Kopieren. Sie benötigen diesen Schlüssel im nächsten Schritt.

API mit einem Schlüssel aufrufen

Mit dem API-Schlüssel können Sie jetzt den API-Proxy aufrufen. Fügen Sie den API-Schlüssel wie gezeigt als Abfrageparameter ein. Der Abfrageparameter darf keine zusätzlichen Leerzeichen enthalten.

curl -v -k https://YOUR_ENV_GROUP_HOSTNAME/helloapikey?apikey=YOUR_API_KEY

Wenn Sie jetzt den API-Proxy aufrufen, erhalten Sie diese Antwort: Hello, Guest!

Glückwunsch! Sie haben einen API-Proxy erstellt und geschützt, indem ein gültiger API-Schlüssel in den Aufruf eingefügt wurde.

Es ist allgemein nicht empfehlenswert, einen API-Schlüssel als Abfrageparameter zu übergeben. Sie sollten stattdessen eine Übergabe im HTTP-Header vornehmen.

Best Practice: Übergeben des Schlüssels im HTTP-Header

In diesem Schritt werden Sie den Proxy so modifizieren, dass er nach dem API-Schlüssel in einem Header namens x-apikey sucht.

  1. Rufen Sie in der Google Cloud Console die Seite Proxy-Entwicklung > API-Proxys auf.

    2. Zu „API-Proxys“

  2. Wählen Sie den gewünschten Proxy aus der Liste der Proxys aus.
  3. Klicken Sie auf der Seite Proxydetails auf Entwickeln.
  4. Ändern Sie die Richtlinien-XML, damit die Richtlinie im Header und nicht im Queryparam nach den Richtlinien sucht:
    5. <APIKey ref="request.header.x-apikey"/>
  5. Klicken Sie auf Speichern, um die Änderungen zu speichern.
  6. Klicken Sie auf Bereitstellen.
  7. Wählen Sie eine Überarbeitung und eine Umgebung aus.
  8. Klicken Sie auf Bereitstellen.

  9. Führen Sie den folgenden API-Aufruf mit cURL aus, um den API-Schlüssel als Header mit dem Namen x-apikey zu übergeben. Denken Sie daran, den Namen Ihrer Organisation zu ersetzen.

    curl -v -H "x-apikey: YOUR_API_KEY" http://YOUR_ENV_GROUP_HOSTNAME/helloapikey

Wenn Sie die Änderung vollständig vornehmen möchten, müssen Sie außerdem die Richtlinie „Nachricht zuweisen“ konfigurieren, um den Header anstelle des Abfrageparameters zu entfernen. Beispiel:

<Remove>
  <Headers>
      <Header name="x-apikey"/>
  </Headers>
</Remove>

Weitere Informationen

Im Folgenden finden Sie einige Themen zu API-Produkten und -Schlüsseln:

Der API-Schutz umfasst häufig zusätzliche Sicherheitsmaßnahmen wie OAuth, ein offenes Protokoll, das Anmeldedaten wie Nutzername und Passwort gegen Zugriffstokens austauscht. Zugriffstokens sind lange, zufällige Strings, die über eine Nachrichtenpipeline weitergegeben werden können, auch von der App zur Anwendung, ohne dabei die ursprünglichen Anmeldedaten zu beeinträchtigen.

Eine Übersicht über sicherheitsrelevante Themen finden Sie unter Proxy sichern.