内容字号:默认大号超大号

段落设置:段首缩进取消段首缩进

字体设置:切换到微软雅黑切换到宋体

服务器_数据库工程师简历_免费申请

2021-07-19 15:52 出处:欧普曼云计算 人气: 评论(0

最近,一位客户问我是否可以在API管理中检查API使用者是否真的只读取他的数据。虽然这是一个典型的主体传播用例(用户ID被传播到后端,在后端,他的权利被强制执行),但我发现这个想法很有趣。

更有趣的是,这个用例展示了SAP API管理在处理特定于客户的请求时的灵活性。

如果您想实现这一点使用案例,您需要访问SAP云平台API管理环境,并且您应该了解API管理的基础知识。

如上所述,公司希望以自助服务模式向客户公开数据。这是通过API管理集中管理的API完成的。

公司希望在所有级别上实施安全性,云购网,因此他们还希望API管理检查客户是否只访问其数据。

让我们假设API是OData API。为了为用户检索数据(例如销售订单),应用程序将调用如下资源:

为了执行身份验证,应用程序可以向api管理发送基本身份验证、api密钥或令牌。从这些我们可以得到客户名称。

但是为了简化我们的示例,我们将使用一个包含调用资源的客户ID的查询参数:

如果发送到API代理的客户ID与响应负载匹配(即,如果客户请求自己的销售订单),一切都很好。

但让我们想象一下,有人对应用程序或网站进行反向工程,搭建大数据平台,并试图通过更改API调用来访问其他客户的销售订单。这应该在API管理中被拦截(在使用主体传播的后端系统中)。

让我们看看如何做到这一点。

我假设您有一个REST API后端。出于测试目的,您可以使用sapdeves5系统,这是一个互联网可用的SAP虚拟系统。以下是如何获得帐户:https://developers.sap.com/tutorials/gateway-demo-signup.html

在API管理服务中,企业大数据,按如下方式创建API提供程序:

如前所述,我们需要先获取客户ID。这个参数由应用程序作为查询参数传递。显然,对于生产性场景,您可能希望使用API密钥、OAuth或JWT令牌,数据与大数据技术,从中可以获得用户信息。

现在,打开API代理的策略编辑器。

选择"Sales Order Set"资源(通过单击名称旁边的蓝色"0")。此资源包含特定客户的销售订单,可以根据需要进行筛选。

在请求中添加"提取变量"策略:

此策略将客户ID存储在变量中以供以后使用。

现在我们将从销售订单API调用响应中获取客户ID。

我们将使用另一个提取变量执行此操作。

选择"销售订单集"资源。

在响应中添加"提取变量"策略:

此策略将客户ID存储在变量中,以备以后使用。

因为您不能在代理表达式中直接比较两个变量,我们将使用一个小的javascript来完成这个任务。

在响应上添加一个"javascript"策略:

在策略编辑器(左侧菜单)的"脚本"部分添加实际的Java脚本,名称与上面相同。

我使用的代码(我不是JS god…)如下:

如您所见,我们正在将另一个变量"differentCustomerID"设置为保留两个客户ID的比较结果。

最后一步:停止执行API代理,如果检测到不同的客户ID,则引发403错误。

在响应通道的末尾添加"引发错误"策略:

现在的诀窍是仅当客户ID不相同时才会引发此错误,大数据运维,例如,如果JavaScript中创建的变量为"false"。

只需在"Raise Fault"策略执行中添加以下条件:

您的流程应该是这样的:

现在是时候测试我们的小示例了。

我始终建议使用Postman进行API测试:您可以完全配置,根据需要保存和组织您的请求。

在请求和响应中使用相同的客户ID进行测试

您将需要在API调用中为后端系统(如SAP Dev ES5的basic)设置身份验证。

然后使用以下URL调用API管理代理:

https://。hana.ondemand.com:443/v1/AccessControlTest//SalesOrderSet(‘0500000000’)?customerIDParam=0100000000

SalesOrderSet 050000000是customer 0100000000中的一个。

没问题。

在请求和响应中使用不同的客户ID进行测试

让我们看看如果我尝试从另一个销售订单请求数据会发生什么

https://。hana.ondemand.com:443/v1/AccessControlTest//SalesOrderSet(‘0500000001‘)?customerIDParam=0100000000

API代理现在抛出一个错误:请求参数中的客户ID与响应中的客户ID不相同。

如您所见,根据您的组织的请求,在API管理中添加特定功能非常简单。尤其是安全性是API管理的一个非常重要的方面,但是安全性应该在每个级别上实现。这包括在后端系统/API中验证访问权限,而不仅仅是在API管理层。

分享给小伙伴们:
本文标签: 服务器数据库工程师简历免费申请

相关文章

评论

发表评论愿您的每句评论,都能给大家的生活添色彩,带来共鸣,带来思索,带来快乐。

签名: 验证码: 点击我更换图片

评论列表