Restreindre l'accès à l'API avec des clés API

Les clés API vous permettent de restreindre l'accès à certaines méthodes d'une API ou à l'ensemble de ses méthodes. Cette page explique comment restreindre l'accès à une API aux seuls clients disposant de la clé API correspondante, ainsi que comment créer une clé API.

Si vous configurez une exigence de clé API dans votre API, toute requête concernant la méthode, la classe ou l'API ainsi protégées est rejetée, sauf si elle est assortie d'une clé générée au sein de votre projet ou dans un autre projet appartenant à un développeur auquel vous avez donné l'autorisation d'activer cette API. Le projet dans lequel la clé API a été créée n'est ni consigné, ni ajouté à l'en-tête de requête. Vous avez cependant la possibilité d'afficher le Google Cloud projet auquel un client est associé sur la page Services Endpoints , comme indiqué à la section Filtrer un projet pour un consommateur spécifique.

Pour plus d'informations sur le Google Cloud projet dans lequel une clé API doit être créée, consultez la section Partager des API protégées par une clé API.

Restreindre l'accès à toutes les méthodes d'une API

Si vous souhaitez qu'une clé API soit exigée pour tous les appels de l'API, ajoutez api_key_required=True à votre décorateur d'API. Exemple :

@endpoints.api(name='echo', version='v1', api_key_required=True)
class EchoApi(remote.Service):
#...

Restreindre l'accès à certaines méthodes de l'API

Si vous souhaitez qu'une clé API soit exigée pour tous les appels d'une méthode donnée de l'API, ajoutez api_key_required=True à votre décorateur de méthode d'API. Exemple :

endpoints.method(
  # This method takes an Echo message.
  ECHO_RESOURCE,
  # This method returns an Echo message.
  EchoResponse,
  path='echo',
  http_method='POST',
  name='echo_api_key',
  api_key_required=True)
def echo_api_key(self, request):
  output_content = '\n'.join([request.content] * request.n)
  return EchoResponse(content=output_content)

Supprimer la restriction de clé API pour une méthode

Pour désactiver la validation par clé API pour une API ou une méthode API, supprimez api_key_required=True (Python) ou apiKeyRequired = AnnotationBoolean.TRUE (Java) du décorateur ou de l'annotation de cette API ou de cette méthode, puis recompilez et redéployez.

Appeler une API à l'aide d'une clé API

Si une API ou une méthode API requiert une clé API, fournissez cette clé à l'aide d'un paramètre de requête nommé key, comme indiqué dans cet exemple cURL :

curl \
    -H "Content-Type: application/json" \
    -X POST \
    -d '{"message": "echo"}' \
    "${HOST}/_ah/api/echo/v1/echo_api_key?key=${API_KEY}"

HOST et API_KEY sont des variables contenant respectivement le nom de votre hôte et votre clé API. Remplacez echo par le nom de votre API et v1 par la version de celle-ci.

Partager des API protégées par une clé API

Les clés API sont associées au Google Cloud projet dans lequel elles ont été créées. Si vous avez décidé de demander une clé API à votre API, le Google Cloud projet dans lequel la clé API est créée dépend des réponses aux questions suivantes :

  • Avez-vous besoin de distinguer les appelants de votre API pour pouvoir utiliser les fonctionnalités Endpoints comme les quotas ?
  • Est-ce que tous les appelants de votre API ont leurs propres Google Cloud projets ?
  • Avez-vous besoin de configurer différentes restrictions de clés API ?

L'arbre de décision suivant peut vous servir de guide pour choisir le Google Cloud projet dans lequel créer la clé API.

Arbre de décision relatif aux clés API

Accorder l'autorisation d'activer l'API

Lorsque vous devez faire la distinction entre les appelants de votre API et que chaque appelant dispose de son propre Google Cloud projet, vous pouvez autoriser les comptes principaux à activer l'API dans leur propre Google Cloud projet. De cette manière, les utilisateurs de votre API peuvent créer leur propre clé API à utiliser avec votre API.

Par exemple, supposons que votre équipe ait créé une API à usage interne pour différents programmes clients de votre entreprise et que chaque programme client possède son propre Google Cloud projet. Pour distinguer les appelants de votre API, la clé API de chaque appelant doit être créée dans un projet différent Google Cloud Vous pouvez accorder à vos collègues l'autorisation d'activer l'API dans le Google Cloud projet auquel le programme client est associé.

Pour permettre aux utilisateurs de créer leur propre clé API :

  1. Dans le Google Cloud projet dans lequel votre API est configurée, accordez à chaque utilisateur l' autorisation d'activer votre API.
  2. Contactez les utilisateurs et faites-leur savoir qu'ils peuvent activer votre API dans leur propre Google Cloud projet et créer une clé API.

Créer un projet distinct Google Cloud pour chaque appelant

Lorsque vous devez faire la distinction entre les appelants de votre API et que les appelants n'ont pas tous de projet Google Cloud , vous pouvez créer un Google Cloud projet et une clé API distincts pour chaque appelant. Avant de créer ces projets, réfléchissez aux noms que vous allez leur donner, afin d'être en mesure d'identifier facilement l'appelant associé à chaque projet.

Par exemple, supposons que vous ayez des clients externes pour votre API, et que vous ne sachiez pas comment les programmes clients qui appellent celle-ci ont été créés. Certains clients utilisent peut-être des services et possèdent donc un projet, alors que d'autres non. Google Cloud Google Cloud Pour distinguer les appelants, vous devez créer un projet et une clé API distincts pour chacun d'eux. Google Cloud

Pour créer un projet et une clé API distincts pour chaque appelant : Google Cloud

  1. Créez un projet distinct pour chaque appelant.
  2. Dans chaque projet, activez votre API et créez une clé API.
  3. Donnez la clé API à chaque appelant.

Créer une clé API pour chaque appelant

Lorsque vous n'avez pas besoin de distinguer les appelants de votre API, mais que vous souhaitez ajouter des restrictions de clé API, vous pouvez créer une clé API distincte pour chaque appelant du même projet.

Pour créer une clé API pour chaque appelant dans le même projet :

  1. Soit dans le projet dans lequel votre API est configurée, soit dans un projet dans lequel votre API est activée, créez pour chaque client une clé API disposant des restrictions de clés API dont vous avez besoin.
  2. Donnez la clé API à chaque appelant.

Créer une clé API pour tous les appelants

Lorsque vous n'avez pas besoin de distinguer les appelants de votre API ni d'ajouter de restrictions d'API, mais que vous souhaitez quand même qu'une clé API soit exigée (pour empêcher l'accès anonyme, par exemple), vous pouvez créer une clé API que tous les appelants peuvent utiliser.

Pour créer une clé API pour tous les appelants :
  1. Soit dans le projet dans lequel votre API est configurée, soit dans un projet dans lequel votre API est activée, créez une clé API pour tous les appelants disposant des restrictions de clés API dont vous avez besoin.
  2. Donnez la même clé API à chaque appelant.

Étape suivante