Tutorial: Transformación y protección de una API
SE APLICA A: todos los niveles de API Management
En este tutorial, obtendrá información sobre cómo configurar directivas comunes para transformar la API. Posiblemente quiera transformar la API para que no revele información de back-end privada. La transformación de una API puede ayudarle a ocultar la información de la pila de tecnología que se ejecuta en el back-end u ocultar las direcciones URL originales que aparecen en el cuerpo de la respuesta HTTP de la API.
En este tutorial también se explica cómo agregar protección a la API de back-end mediante la configuración de una directiva de límite de velocidad para que los desarrolladores no usen demasiado la API. Para obtener más opciones sobre la directiva, consulte Directivas de API Management.
Nota
De forma predeterminada, API Management configura una directiva global forward-request. La directiva forward-request es necesaria para que la puerta de enlace complete una solicitud a un servicio back-end.
En este tutorial, aprenderá a:
- Transformación una API para eliminar encabezados de respuesta
- Reemplazo de URL originales en el cuerpo de la respuesta de API con las URL de puerta de enlace de API Management
- Protección de una API agregando una directiva de límite de frecuencia (limitación)
- Prueba de las transformaciones
Requisitos previos
- Conocer la terminología de API Management de Azure.
- Comprender el concepto de directivas en API Management de Azure.
- Complete el siguiente inicio rápido: Creación de una instancia de Azure API Management.
- Además, realice el siguiente tutorial: Importación y publicación de la primera API.
Vaya a la instancia de API Management.
En Azure Portal, busque y seleccione Servicios de API Management.
En la página de servicios API Management, seleccione la instancia de API Management.
Transformación una API para eliminar encabezados de respuesta
En esta sección se muestra cómo ocultar los encabezados HTTP que no quiera mostrar a los usuarios. Por ejemplo, elimine los encabezados siguientes en la respuesta HTTP:
- X-Powered-By
- X-AspNet-Version
Prueba de la respuesta original
Para ver la respuesta original, siga estos pasos:
- En la instancia de servicio de API Management, seleccione API.
- Seleccione Demo Conference API en la lista de API.
- Seleccione la pestaña Prueba en la parte superior de la pantalla.
- Seleccione la operación GetSpeakers y luego Enviar.
La respuesta de la API original debe ser similar a la siguiente:
Como puede ver, la respuesta incluye los encabezados X-AspNet-Version y X-Powered-By.
Establecimiento de la directiva de transformación
En este ejemplo se muestra cómo usar el editor de directivas basado en formularios, que le ayuda a configurar varias directivas sin tener que editar las instrucciones XML de las directivas directamente.
Seleccione Demo Conference API>Diseño>Todas las operaciones.
En la sección Procesamiento de salida, seleccione Agregar directiva.
En la ventana Agregar directiva de salida, seleccione Establecer encabezados.
Para configurar el conjunto de directivas de encabezados, haga lo siguiente:
- En Nombre, escriba X-Powered-By.
- Deje Valor vacío. Si aparece un valor en la lista desplegable, elimínelo.
- En Acción, seleccione Eliminar.
- Seleccione Guardar.
Repita los dos pasos anteriores para agregar una directiva Establecer encabezados que elimine el encabezado X-AspNet-Version:
Después de la configuración, aparecen dos elementos de política de encabezado en la sección Procesamiento de salida.
Reemplazo de URL originales en el cuerpo de la respuesta de API con las URL de puerta de enlace de API Management
En esta sección se muestra cómo reemplazar las direcciones URL originales que aparecen en el cuerpo de la respuesta HTTP de la API con las direcciones URL de la puerta de enlace de API Management. Es posible que quiera ocultar las direcciones URL de back-end originales de los usuarios.
Prueba de la respuesta original
Para ver la respuesta original, siga estos pasos:
Seleccione Demo Conference API>Probar.
Seleccione la operación GetSpeakers y luego Enviar.
Como puede ver, la respuesta incluye las direcciones URL de back-end originales:
Establecimiento de la directiva de transformación
En este ejemplo, se usa el editor de código de directiva para agregar el fragmento de código XML de la directiva directamente a la definición de directiva.
Seleccione Demo Conference API>Diseño>Todas las operaciones.
En la sección Procesamiento de salida, seleccione el icono del editor de código (</>).
Coloque el cursor dentro del elemento
<outbound>en una línea en blanco. A continuación, seleccione Mostrar fragmentos de código en la esquina superior derecha de la pantalla.
En la ventana derecha, en Transformation policies (Directivas de transformación), haga clic en Mask URLs in content (Enmascarar direcciones URL en contenido).
El elemento
<redirect-content-urls />se agrega en la posición del cursor.
Seleccione Guardar.
Protección de una API agregando la directiva de límite de frecuencia (limitación)
En esta sección se muestra cómo agregar protección a la API de back-end mediante la configuración de límites de velocidad, de modo que los desarrolladores no usen demasiado la API. En este ejemplo, el límite se establece en tres llamadas cada 15 segundos para cada id. de suscripción. Después de 15 segundos, un desarrollador puede volver a intentar llamar a una API.
Seleccione Demo Conference API>Diseño>Todas las operaciones.
En la sección Procesamiento de entrada, seleccione el icono del editor de código (</>).
Coloque el cursor dentro del elemento
<inbound>en una línea en blanco. A continuación, seleccione Mostrar fragmentos de código en la esquina superior derecha de la pantalla.
En la ventana derecha, en Access restriction policies (Directivas de restricción de acceso), seleccione Limit call rate per key (Limitar la frecuencia de llamadas por clave).
El elemento
<rate-limit-by-key />se agrega en la posición del cursor.
Cambie el código
<rate-limit-by-key />en el elemento<inbound>por el código siguiente. Después, seleccione Guardar.<rate-limit-by-key calls="3" renewal-period="15" counter-key="@(context.Subscription.Id)" />
Prueba de las transformaciones
Llegados a este punto, si examina el código en el editor de código, las directivas tienen el aspecto del código siguiente:
<policies>
<inbound>
<rate-limit-by-key calls="3" renewal-period="15" counter-key="@(context.Subscription.Id)" />
<base />
</inbound>
<backend>
<base />
</backend>
<outbound>
<set-header name="X-Powered-By" exists-action="delete" />
<set-header name="X-AspNet-Version" exists-action="delete" />
<redirect-content-urls />
<base />
</outbound>
<on-error>
<base />
</on-error>
</policies>
En el resto de esta sección se prueban transformaciones de directiva que estableció en este artículo.
Prueba de los encabezados de respuesta eliminados
Seleccione Demo Conference API>Probar.
Seleccione la operación GetSpeakers y elija Enviar.
Como puede ver, se quitaron los encabezados X-AspNet-Version y X-Powered-By:
Prueba de la URL reemplazada
Seleccione Demo Conference API>Probar.
Seleccione la operación GetSpeakers y elija Enviar.
Como puede ver, las direcciones URL se han reemplazado.
Prueba del límite de frecuencia (limitación)
Seleccione Demo Conference API>Probar.
Seleccione la operación GetSpeakers. Seleccione Enviar cuatro veces seguidas.
Después de enviar la solicitud cuatro veces, recibirá la respuesta 429 Demasiadas solicitudes.
Espere 15 segundos o más, y luego seleccione de nuevo Enviar. Esta vez debería obtener una respuesta 200 OK.
Resumen
En este tutorial ha aprendido a:
- Transformación una API para eliminar encabezados de respuesta
- Reemplazo de URL originales en el cuerpo de la respuesta de API con las URL de puerta de enlace de API Management
- Protección de una API agregando la directiva de límite de frecuencia (limitación)
- Prueba de las transformaciones
Pasos siguientes
Avance hasta el siguiente tutorial: