Školení
Modul
Řízení ověřování pro rozhraní API pomocí služby Azure API Management - Training
Zjistěte, jak chránit rozhraní API před neoprávněným použitím pomocí klíčů rozhraní API a ověřování klientských certifikátů.
Tento prohlížeč se už nepodporuje.
Upgradujte na Microsoft Edge, abyste mohli využívat nejnovější funkce, aktualizace zabezpečení a technickou podporu.
Pokud chcete, aby NuGet byl bezpečnějším prostředím pro distribuci balíčků, můžete převzít kontrolu nad klíči rozhraní API přidáním oborů.
Možnost poskytnout rozsah klíčům rozhraní API poskytuje lepší kontrolu nad rozhraními API. Můžete provádět následující akce:
Podporujeme obory klíčů rozhraní API, které vám umožní mít jemněji odstupňovaná oprávnění. NuGet dříve nabídl jeden klíč rozhraní API pro účet a tento přístup měl několik nevýhod:
U klíčů rozhraní API s vymezeným oborem se snažíme tyto problémy vyřešit a zároveň se ujistit, že se žádný z existujících pracovních postupů nezalomí.
Pokud ho ještě nemáte, přihlaste se ke svému nuget.org účtu nebo si ho vytvořte.
Vyberte své uživatelské jméno v pravém horním rohu a pak vyberte Klíče rozhraní API.
Vyberte Vytvořit a zadejte název klíče.
V části Vybrat obory vyberte Nasdílení změn.
V části Vybrat vzor globu>balíčků zadejte *.
Vyberte Vytvořit.
Vyberte Kopírovat a zkopírujte nový klíč.
Důležité
Rozsah umožňuje vytvořit samostatné klíče rozhraní API pro různé účely. Každý klíč má časový rámec vypršení platnosti a klíč můžete nastavit na konkrétní balíčky nebo vzory globu. Každý klíč také definujete na konkrétní operace: Nasdílíte nové balíčky a verze balíčků, nasdílíte jenom nové verze balíčků nebo zrušíte seznam.
Prostřednictvím oboru můžete vytvořit klíče rozhraní API pro různé uživatele, kteří spravují balíčky pro vaši organizaci, aby měli jenom potřebná oprávnění.
Na základě vašich požadavků můžete vytvořit více klíčů rozhraní API. Klíč rozhraní API se může použít pro jeden nebo více balíčků, má různé obory, které udělují konkrétní oprávnění, a má přiřazené datum vypršení platnosti.
V následujícím příkladu máte klíč rozhraní API s názvem Contoso service CI
, který lze použít k nabízení balíčků pro konkrétní Contoso.Service
balíčky a je platný po dobu 365 dnů. Jedná se o typický scénář, kdy různé týmy ve stejné organizaci pracují na různých balíčcích a členové týmu mají k dispozici klíč, který jim uděluje oprávnění pouze pro balíček, na kterém pracují. Vypršení platnosti slouží jako mechanismus, který zabraňuje zastaralým nebo zapomenutým klíčům.
Pokud pracujete na více balíčcích a máte velký seznam balíčků, které chcete spravovat, můžete použít vzory globbingu a vybrat více balíčků společně. Pokud například chcete udělit konkrétním oborům klíč pro všechny balíčky, jejichž ID začíná Fabrikam.Service
, můžete to udělat zadáním fabrikam.service.*
do textového pole Vzor globu.
Použití vzorů globů k určení oprávnění klíče rozhraní API platí také pro nové balíčky odpovídající vzoru globu. Pokud se například pokusíte nasdílet nový balíček s názvem Fabrikam.Service.Framework
, můžete to udělat pomocí klíče vytvořeného dříve, protože balíček odpovídá vzoru fabrikam.service.*
globu .
Pro zabezpečení se nově vytvořený klíč nikdy na obrazovce nezobrazuje a je k dispozici pouze pomocí tlačítka Kopírovat . Podobně není klíč po aktualizaci stránky přístupný.
Můžete také chtít aktualizovat oprávnění a obory klíčů beze změny samotného klíče. Pokud máte klíč s určitými obory pro jeden balíček, můžete použít stejné obory na jednom nebo mnoha dalších balíčcích.
Vlastník účtu se může rozhodnout aktualizovat klíč, v takovém případě oprávnění (v balíčcích), rozsah a vypršení platnosti zůstanou stejné, ale nový klíč se vydá, takže starý klíč bude nepoužitelný. To je užitečné při správě zastaralých klíčů nebo v případě, že existuje potenciál úniku klíčů rozhraní API.
Tyto klíče můžete také odstranit, pokud už je nepotřebujete. Odstraněním klíče klíč odeberete a zneužitelný.
Váš starý klíč rozhraní API (starší verze) bude fungovat a může fungovat tak dlouho, dokud ho chcete používat. Tyto klíče se ale vyřadí, pokud se k odeslání balíčku nepoužily déle než 365 dnů. Další podrobnosti najdete v blogovém příspěvku Změny klíčů rozhraní API s vypršenou platností. Tento klíč už nemůžete aktualizovat. Musíte odstranit starší klíč a místo toho vytvořit nový klíč s vymezeným oborem.
Poznámka
Tento klíč má všechna oprávnění pro všechny balíčky a jeho platnost nikdy nevyprší. Měli byste zvážit odstranění tohoto klíče a vytvoření nových klíčů s vymezenými oprávněními a jednoznačnou platností.
Počet klíčů rozhraní API, které můžete vytvořit, není nijak omezený. Doporučujeme vám ale, abyste ho udrželi na spravovatelném počtu, abyste nemuseli mít mnoho zastaralých klíčů bez znalosti o tom, kde a kdo je používá.
Ano. Můžete - a pravděpodobně byste měli odstranit starší klíč rozhraní API.
Ne. Po odstranění můžete vytvořit pouze nové klíče. Není možné obnovit náhodně odstraněné klíče.
Ne. Po aktualizaci klíče se vygeneruje nový klíč se stejným oborem, oprávněním a vypršením platnosti jako starý klíč. Starý klíč přestane existovat.
Obor nelze upravit, ale můžete upravit seznam balíčků, na který se vztahuje.
Pokud vyprší platnost nějakého klíče, dáme vám vědět prostřednictvím upozornění v horní části stránky. Pošleme také e-mail s upozorněním držiteli účtu deset dní před vypršením platnosti klíče, abyste s ním mohli dobře pracovat předem.
Školení
Modul
Řízení ověřování pro rozhraní API pomocí služby Azure API Management - Training
Zjistěte, jak chránit rozhraní API před neoprávněným použitím pomocí klíčů rozhraní API a ověřování klientských certifikátů.