Leggere in inglese

Condividi tramite


Esercitazione: trasformare e proteggere l'API

SI APPLICA A: Tutti i livelli di Gestione API

In questa esercitazione si apprende come configurare i criteri comuni per trasformare l'API. È possibile trasformare l'API in modo che non riveli informazioni di back-end private. La trasformazione di un'API consente di nascondere le informazioni sullo stack di tecnologie in esecuzione nel back-end o nascondere gli URL originali visualizzati nel corpo della risposta HTTP dell'API.

Questa esercitazione illustra anche come proteggere l'API back-end configurando un criterio di limite di velocità, in modo che l'API non venga usata eccessivamente dagli sviluppatori. Per altre opzioni di criteri, vedere Criteri di API Management.

Nota

Per impostazione predefinita, API Management configura un criterio forward-request globale. Il criterio forward-request è necessario affinché il gateway completi una richiesta a un servizio back-end.

In questa esercitazione apprenderai a:

  • Trasformare un'API per rimuovere le intestazioni di risposta
  • Sostituire gli URL originali nel corpo della risposta dell'API con URL del gateway di API Management
  • Proteggere un'API aggiungendo un criterio per il limite di frequenza (limitazione delle richieste)
  • Testare le trasformazioni

Screenshot dei criteri di Gestione API nel portale.

Prerequisiti

Passare all'istanza di Gestione API

  1. Nel portale di Azure cercare e selezionare Servizi Gestione API.

    Selezionare Servizi Gestione API

  2. Nella pagina Servizi Gestione API selezionare l'istanza di Gestione API.

    Selezionare l'istanza di Gestione API

Trasformare un'API per rimuovere le intestazioni di risposta

Questa sezione illustra come nascondere le intestazioni HTTP che non devono essere visualizzate dagli utenti. Ad esempio, eliminare le intestazioni seguenti nella risposta HTTP:

  • X-Powered-By
  • X-AspNet-Version

Testare la risposta originale

Per visualizzare la risposta originale:

  1. Nell'istanza del servizio Gestione API, selezionare API.
  2. Fare clic su Demo Conference API nell'elenco di API.
  3. Selezionare la scheda Test nella parte superiore della schermata.
  4. Selezionare l'operazione GetSpeakers seguito da Invia.

La risposta API originale avrà un aspetto simile al seguente:

Screenshot della risposta API originale nel portale.

Come si può notare, la risposta include le intestazioni X-AspNet-Version e X-Powered by.

Impostare i criteri di trasformazione

In questo esempio viene illustrato come usare l'editor dei criteri basato su modulo, che consente di configurare molti criteri senza dover modificare direttamente le istruzioni XML dei criteri.

  1. Selezionare Demo Conference API>Progettazione>Tutte le operazioni.

  2. Nella sezione Elaborazione in uscita selezionare + Aggiungi criterio.

    Screenshot della navigazione ai criteri in uscita nel portale.

  3. Nella finestra Aggiungi criteri in uscita selezionare Imposta intestazioni.

    Screenshot della configurazione dei criteri di impostazione delle intestazioni nel portale.

  4. Per configurare i criteri di impostazione delle intestazioni, eseguire le operazioni seguenti:

    1. In Nomeimmettere X-Powered-By.
    2. Lasciare Valore vuoto. Se viene visualizzato un valore nel menu a discesa, eliminarlo.
    3. In Azione selezionare Consenti.
    4. Seleziona Salva.
  5. Ripetere i due passaggi precedenti per aggiungere un criterio di impostazione delle intestazioni che elimina l'intestazione X-AspNet-Version:

  6. Dopo la configurazione, due elementi del criterio set-header sono visualizzati nella sezione Elaborazione in uscita.

    Screenshot dei criteri in uscita di impostazione delle intestazioni nel portale.

Sostituire gli URL originali nel corpo della risposta dell'API con URL del gateway di API Management

Questa sezione illustra come sostituire gli URL originali visualizzati nel corpo della risposta HTTP dell'API con gli URL del gateway di API Management. È possibile nascondere gli URL back-end originali agli utenti.

Testare la risposta originale

Per visualizzare la risposta originale:

  1. Selezionare Demo Conference API>Test.

  2. Selezionare l'operazione GetSpeakers seguito da Invia.

    Come si può notare, la risposta include gli URL originali del back-end:

    Screenshot degli URL originali nella risposta nel portale.

Impostare i criteri di trasformazione

In questo esempio si usa l'editor di codice dei criteri per aggiungere il frammento XML dei criteri direttamente alla definizione dei criteri.

  1. Selezionare Demo Conference API>Progettazione>Tutte le operazioni.

  2. Nella sezione Elaborazione in uscita selezionare l'icona dell'editor di codice (</>).

    Screenshot della navigazione nell'editor di codice del criterio in uscita nel portale.

  3. Posizionare il cursore all'interno dell'elemento <outbound> su una riga vuota. Selezionare quindi Mostra frammenti di codice nell'angolo in alto a destra della schermata.

    Screenshot della selezione dei frammenti da mostrare nell'editor dei criteri in uscita nel portale.

  4. Nella finestra a destra, in Transformation policies (Criteri di trasformazione) selezionare Mask URLs in content (Maschera URL nel contenuto).

    L'elemento <redirect-content-urls /> viene aggiunto al cursore.

    Screenshot dell'inserimento degli URL della maschera nei criteri dei contenuti nel portale.

  5. Seleziona Salva.

Proteggere un'API aggiungendo criteri relativi ai limiti di frequenza (limitazione delle richieste)

Questa sezione illustra come aggiungere protezione all'API back-end configurando limiti di velocità, in modo che l'API non venga usata eccessivamente dagli sviluppatori. In questo esempio il limite è impostato su tre chiamate ogni 15 secondi per ogni ID sottoscrizione. Dopo 15 secondi, uno sviluppatore può ripetere la chiamata a un API.

  1. Selezionare Demo Conference API>Progettazione>Tutte le operazioni.

  2. Nella sezione Elaborazione in ingresso selezionare l'icona dell'editor di codice (</>).

    Screenshot della navigazione nell'editor di codice del criterio in entrata nel portale.

  3. Posizionare il cursore all'interno dell'elemento <inbound> su una riga vuota. Selezionare quindi Mostra frammenti di codice nell'angolo in alto a destra della schermata.

    Screenshot della selezione dei frammenti da mostrare nell'editor dei criteri in entrata nel portale.

  4. Nella finestra a destra, in Criteri di restrizione dell'accesso selezionare + Limita frequenza delle chiamate per chiave.

    L'elemento <rate-limit-by-key /> viene aggiunto al cursore.

    Screenshot dell'inserimento del limite relativo alla frequenza delle chiamate per criterio chiave nel portale.

  5. Sostituire il codice <rate-limit-by-key /> nell'elemento <inbound> con il codice seguente. Quindi selezionare Salva.

    <rate-limit-by-key calls="3" renewal-period="15" counter-key="@(context.Subscription.Id)" />
    

Testare le trasformazioni

A questo punto, se si esamina il codice nell'editor di codice, i criteri sono simili al seguente codice:

<policies>
   <inbound>
     <rate-limit-by-key calls="3" renewal-period="15" counter-key="@(context.Subscription.Id)" />
     <base />
   </inbound>
   <backend>
     <base />
   </backend>
   <outbound>
     <set-header name="X-Powered-By" exists-action="delete" />
     <set-header name="X-AspNet-Version" exists-action="delete" />
     <redirect-content-urls />
     <base />
   </outbound>
   <on-error>
     <base />
   </on-error>
</policies>

La parte rimanente della sezione testa le trasformazioni dei criteri impostate in questo articolo.

Testare le intestazioni della risposta eliminate

  1. Selezionare Demo Conference API>Test.

  2. Selezionare l'operazione GetSpeakers e quindi Invia.

    Come si può notare, intestazioni X-AspNet-Version e X-Powered by sono state rimosse:

    Screenshot che mostra le intestazioni della risposta rimosse nel portale.

Testare l'URL sostituito

  1. Selezionare Demo Conference API>Test.

  2. Selezionare l'operazione GetSpeakers e quindi Invia.

    Come si può notare, gli URL sono sostituiti.

    Screenshot che mostra gli URL sostituiti nel portale.

Testare il limite di frequenza (limitazione delle richieste)

  1. Selezionare Demo Conference API>Test.

  2. Selezionare l'operazione GetSpeakers. Selezionare Invia quattro volte in una riga.

    Dopo avere inviato la richiesta 4 volte, verrà visualizzata la risposta 429 Troppe richieste.

    Screenshot che mostra Troppe richieste nella risposta nel portale.

  3. Attendere 15 secondi o più e quindi selezionare di nuovo Invia. Questa volta verrà visualizzata una risposta 200 OK.

Riepilogo

Questa esercitazione ha descritto come:

  • Trasformare un'API per rimuovere le intestazioni di risposta
  • Sostituire gli URL originali nel corpo della risposta dell'API con URL del gateway di API Management
  • Proteggere un'API aggiungendo criteri relativi ai limiti di frequenza (limitazione delle richieste)
  • Testare le trasformazioni

Passaggi successivi

Passare all'esercitazione successiva: