Zelfstudie: Uw API transformeren en beveiligen

In deze zelfstudie leert u over het configureren van algemene beleidsregels om uw API te transformeren. U kunt uw API transformeren zodat deze geen persoonlijke back-endgegevens weergeeft. Als u een API transformeert, kunt u de informatie over de technologiestack verbergen die wordt uitgevoerd in de back-end of de oorspronkelijke URL's verbergen die worden weergegeven in de hoofdtekst van het HTTP-antwoord van de API.

In deze zelfstudie wordt ook uitgelegd hoe u beveiliging toevoegt aan uw back-end-API door een frequentielimietbeleid te configureren, zodat de API niet te veel wordt gebruikt door ontwikkelaars. Zie beleid API Management voor meer beleidsopties.

Notitie

Standaard configureert API Management een globaal forward-request beleid. Het forward-request beleid is nodig voor de gateway om een aanvraag naar een back-endservice te voltooien.

In deze zelfstudie leert u het volgende:

  • Een API transformeren om antwoordheaders te verwijderen
  • Vervang oorspronkelijke URL's in de hoofdtekst van het API-antwoord door API Management gateway-URL's
  • Een API beveiligen door beleid voor frequentielimieten (beperking) toe te voegen
  • De transformaties testen

Beleidsregels in de portal

Vereisten

Ga naar uw API Management-exemplaar

  1. Zoek in de Azure-portal naar API Management-services en selecteer dit.

    API Management-services selecteren

  2. Selecteer uw API Management-exemplaar op de pagina API Management-services.

    Uw API Management-exemplaar selecteren

Een API transformeren om antwoordheaders te verwijderen

In deze sectie wordt beschreven hoe u de HTTP-headers kunt verbergen die u niet wilt weergeven aan gebruikers. Verwijder bijvoorbeeld de volgende headers in het HTTP-antwoord:

  • X-Powered-By
  • X-AspNet-Version

Het oorspronkelijke antwoord testen

Het oorspronkelijke antwoord zien:

  1. Selecteer API’s in uw service-exemplaar van API Management.
  2. Selecteer Demo Conference-API in de API-lijst.
  3. Selecteer bovenaan het scherm het tabblad Testen.
  4. Selecteer de bewerking GetSpeakers en selecteer vervolgens Verzenden.

Het oorspronkelijke API-antwoord moet er ongeveer uitzien als het volgende antwoord:

Oorspronkelijk API-antwoord

Zoals u ziet, bevat het antwoord de headers X-AspNet-Version en X-Powered-By.

Transformatiebeleid instellen

In dit voorbeeld ziet u hoe u de op formulieren gebaseerde beleidseditor gebruikt, waarmee u veel beleidsregels kunt configureren zonder dat u de XML-beleidsinstructies rechtstreeks hoeft te bewerken.

  1. Selecteer Demo Conference-API>Ontwerpen>Alle bewerkingen.

  2. Selecteer + Beleid toevoegen in de sectie Uitgaande verwerking.

    Navigeren naar uitgaand beleid

  3. Selecteer in het venster Uitgaand beleid toevoegen de optie Kopteksten instellen.

    Beleid voor HTTP-header instellen

  4. Ga als volgt te werk om het beleid voor het instellen van headers te configureren:

    1. Voer onder NaamX-Powered-By in. Selecteer verwijderen onder Actie.
    2. Selecteer + Koptekst toevoegen.
    3. Voer onder NaamX-AspNet-Version in. Selecteer verwijderen onder Actie.

    HTTP-header instellen

  5. Selecteer Opslaan. Er worden twee setheaderbeleidselementen weergegeven in de sectie Uitgaande verwerking .

Vervang oorspronkelijke URL's in de hoofdtekst van het API-antwoord door API Management gateway-URL's

In deze sectie wordt beschreven hoe u de oorspronkelijke URL's die in de hoofdtekst van het HTTP-antwoord van de API worden weergegeven, kunt vervangen door API Management gateway-URL's. Mogelijk wilt u de oorspronkelijke back-end-URL's verbergen voor gebruikers.

Het oorspronkelijke antwoord testen

Het oorspronkelijke antwoord zien:

  1. Selecteer Demo Conference-API>Testen.

  2. Selecteer de bewerking GetSpeakers en selecteer vervolgens Verzenden.

    Zoals u ziet, bevat het antwoord de oorspronkelijke back-end-URL's:

    Oorspronkelijke URL's in antwoord

Transformatiebeleid instellen

In dit voorbeeld gebruikt u de editor voor beleidscode om het XML-beleidsfragment rechtstreeks toe te voegen aan de beleidsdefinitie.

  1. Selecteer Demo Conference-API>Ontwerpen>Alle bewerkingen.

  2. Selecteer in de sectie Uitgaande verwerking het pictogram van de code-editor (</>).

    Navigeren naar de code-editor voor uitgaand beleid

  3. Plaats de cursor in het <outbound> element op een lege regel. Selecteer vervolgens Fragmenten weergeven in de rechterbovenhoek van het scherm.

    Fragmenten weergeven selecteren

  4. Selecteer in het rechtervenster onder Transformatiebeleid de optie URL’s in inhoud verbergen.

    Het <redirect-content-urls /> element wordt toegevoegd aan de cursor.

    URL's in inhoud maskeren

  5. Selecteer Opslaan.

Een API beveiligen door beleid voor frequentielimieten toe te voegen

In deze sectie wordt beschreven hoe u beveiliging toevoegt aan uw back-end-API door frequentielimieten te configureren, zodat de API niet te veel wordt gebruikt door ontwikkelaars. In dit voorbeeld is de limiet ingesteld op drie aanroepen per 15 seconden voor elke abonnements-id. Na 15 seconden kan een ontwikkelaar opnieuw proberen een API aan te roepen.

  1. Selecteer Demo Conference-API>Ontwerpen>Alle bewerkingen.

  2. Selecteer in de sectie Binnenkomende verwerking het pictogram van de code-editor (</>).

    Navigeren naar inkomend beleid

  3. Plaats de cursor in het <inbound> element op een lege regel. Selecteer vervolgens Fragmenten weergeven in de rechterbovenhoek van het scherm.

    Beleid voor binnenkomende verwerking instellen

  4. Selecteer in het rechtervenster onder Toegangsbeperkingsbeleidde optie Aanroepfrequentie per sleutel beperken.

    Het <rate-limit-by-key /> element wordt toegevoegd aan de cursor.

    Selecteer Aanroepfrequentie per sleutel beperken

  5. Wijzig de <rate-limit-by-key /> code in het <inbound> -element in de volgende code. Selecteer vervolgens Opslaan.

    <rate-limit-by-key calls="3" renewal-period="15" counter-key="@(context.Subscription.Id)" />
    

De transformaties testen

Als u nu naar de code in de code-editor kijkt, ziet uw beleid eruit als de volgende code:

<policies>
   <inbound>
     <rate-limit-by-key calls="3" renewal-period="15" counter-key="@(context.Subscription.Id)" />
     <base />
   </inbound>
   <backend>
     <base />
   </backend>
   <outbound>
     <set-header name="X-Powered-By" exists-action="delete" />
     <set-header name="X-AspNet-Version" exists-action="delete" />
     <redirect-content-urls />
     <base />
   </outbound>
   <on-error>
     <base />
   </on-error>
</policies>

In de rest van deze sectie worden de beleidstransformaties getest die u in dit artikel hebt ingesteld.

De verwijderde anwoordheaders testen

  1. Selecteer Demo Conference-API>Testen.

  2. Selecteer de bewerking GetSpeakers en selecteer Verzenden.

    Zoals u ziet, zijn de headers verwijderd:

    Verwijderde anwoordheaders

De vervangen URL testen

  1. Selecteer Demo Conference-API>Testen.

  2. Selecteer de bewerking GetSpeakers en selecteer Verzenden.

    Zoals u ziet, worden de URL's vervangen.

    Vervangen URL's

De frequentielimiet testen

  1. Selecteer Demo Conference-API>Testen.

  2. Selecteer de bewerking GetSpeakers. Selecteer drie keer achter elkaar de optie Verzenden.

    Nadat u de aanvraag drie keer hebt verzonden, krijgt u het antwoord 429 Te veel aanvragen .

    Te veel aanvragen

  3. Wacht 15 seconden of langer en selecteer vervolgens opnieuw Verzenden . Deze keer ontvangt u, als het goed is, het antwoord 200 OK.

Volgende stappen

In deze zelfstudie heeft u het volgende geleerd:

  • Een API transformeren om antwoordheaders te verwijderen
  • Vervang de oorspronkelijke URL's in de hoofdtekst van het API-antwoord door API Management gateway-URL's
  • Een API beveiligen door beleid voor frequentielimieten toe te voegen
  • De transformaties testen

Ga door naar de volgende zelfstudie: