Zum Inhalt springen

API Schlüsselsicherheitsanbieter im Jitterbit App Builder

Der Sicherheitsanbieter API Schlüssel ermöglicht Administratoren die Sicherung von App Builder REST APIs mithilfe eines von App Builder generierten API -Schlüsselcodes. Der Verbraucher übergibt den API Schlüssel bei REST API -Anfragen an App Builder. Da jeder API Schlüssel einem einzelnen Benutzer zugeordnet ist, dient dies sowohl der Authentifizierung als auch der Autorisierung.

Definition und Anwendungsfälle

Die API -Schlüssel des App Builders bestehen aus einer 128-Bit langen, kryptografisch zufälligen Zahl. Die Schlüssel sind base64url-kodiert. Nachfolgend sehen Sie ein Beispiel für einen API -Schlüssel:

DLOo9sPS5slJEMHpXBFt3g

API -Schlüssel bieten gegenüber der Standardauthentifizierung mit Benutzername und Kennwort folgende Vorteile:

  • Sie haben eine größere Entropie als Benutzername-Passwort-Kombinationen.
  • Sie können eine Kennwortzurücksetzung überstehen.
  • Sie können problemlos widerrufen werden.
  • Sie können gedreht werden.
  • Sie sind schneller. Passwörter müssen gehasht werden, was absichtlich langsam ist.

Zu den Nachteilen bzw. Schwächen von API -Schlüsseln gehören die Verwaltung ihrer Verteilung und das Risiko von Datenlecks. Anwendungsfälle, in denen API -Schlüssel die beste Authentifizierungsmethode sein können, sind unter anderem:

  • Service-Level-Konten
  • Kommunikation von Anwendung zu Anwendung Server-zu-Server-Kommunikation
  • Nur-Lese-Zugriff
  • Nicht vertrauliche Informationen

Einen API -Schlüssel hinzufügen

Um einen neuen API Schlüssel hinzuzufügen, gehen Sie zu IDE > Sicherheitsanbieter.

Die Seite Sicherheit wird angezeigt. In der Tabelle Benutzerauthentifizierung werden alle aktuellen Benutzerauthentifizierungsmethoden angezeigt. Wenn keine API Schlüssel vorhanden sind oder Sie einen neuen erstellen möchten, klicken Sie auf die Schaltfläche + Benutzerauthentifizierung. Der Dialog Anbieter wird mit den folgenden Feldern angezeigt:

Anbieterdialog

  1. Im Abschnitt Einstellungen:

    1. Name: Geben Sie einen Namen zur Identifizierung Ihres API Schlüssels ein.

    2. Typ: Wählen Sie im Dropdown-Menü API Schlüssel als Typ des Sicherheitsanbieters aus, den Sie erstellen. Dadurch werden die restlichen im Dialogfeld angezeigten Felder geändert.

    3. Priorität: Geben Sie eine Zahl ein, um die Reihenfolge festzulegen, in der Sicherheitsanbieter im Anmeldeformular angezeigt werden.

    4. Aktiviert: Klicken Sie auf dieses Kontrollkästchen, um Ihren API Schlüssel zu aktivieren.

    5. Kennung: Dieses Feld wird automatisch vom App Builder generiert.

  2. Im Abschnitt Schlüssel:

    1. Standardgültigkeitsdauer: Geben Sie die Standardgültigkeitsdauer neuer Schlüssel in Minuten ein. (Änderungen in diesem Feld haben keine Auswirkungen auf vorhandene Schlüssel.)

    2. Maximale Gültigkeitsdauer: Geben Sie die maximale Gültigkeitsdauer neuer Schlüssel in Minuten ein. (Änderungen in diesem Feld haben keine Auswirkungen auf vorhandene Schlüssel.)

    3. Länge: Geben Sie die Länge (in Bytes) der neuen Schlüssel ein. (Änderungen in diesem Feld haben keine Auswirkungen auf vorhandene Schlüssel.)

Wenn Sie fertig sind, klicken Sie auf Speichern. Wenn Sie den Vorgang ohne Speichern beenden möchten, klicken Sie auf Abbrechen. Nachdem Sie einen neuen API Schlüssel gespeichert haben, gelangen Sie zurück zur Seite Sicherheit, wo in der Tabelle Benutzerauthentifizierung der neu erstellte API Schlüssel angezeigt wird. Klicken Sie auf das Klicken Sie am Ende der Zeile auf das Symbol, um mit der Konfiguration fortzufahren.

Konfigurieren eines API -Schlüssels

Um einen API Schlüssel zu konfigurieren, gehen Sie zu IDE > Sicherheitsanbieter. Suchen Sie den API -Schlüssel, den Sie bearbeiten möchten, in der Tabelle Benutzerauthentifizierung und klicken Sie auf das Symbol am Ende der Zeile. Die Seite Anbieter wird angezeigt, auf der Sie weitere Konfigurationen hinzufügen können. Der Bereich Anbieter links zeigt dieselben Einstellungen und Schlüssel an, die beim Erstellen eines neuen Schlüssels angezeigt werden. Im Bereich Eigenschaften rechts können Sie einige zusätzliche Parameter einrichten, die unten beschrieben werden.

Um eine neue Eigenschaft hinzuzufügen, klicken Sie auf die Schaltfläche + Eigenschaft. Dadurch wird der Dialog Eigenschaften mit den Feldern Parameter und Wert geöffnet. Folgende Parameter sind verfügbar:

Eigenschaftendialog

Notiz

Keiner dieser Parameter ist obligatorisch. Sie sollten sie nur hinzufügen, wenn die Art und Weise der API Schlüsselübergabe aus der Standardkonfiguration geändert werden muss. Siehe API Schlüssel übergeben, um mehr zu erfahren.

  • AllowApiKeyInQueryString: Verwenden Sie diesen Parameter, um die Übergabe des API Schlüssels in der Abfrage statt im HTTP- Header zu ermöglichen (siehe Übergabe eines API -Schlüssels Abschnitt). Der Standardwert ist False.

  • AllowInsecureHttp: Verwenden Sie diesen Parameter, um die Weitergabe des API Schlüssels über eine unsichere HTTP-Anfrage statt über eine sichere HTTPS-Anfrage zu ermöglichen (siehe Weitergabe eines API Schlüssels Abschnitt). Der Standardwert ist False.

  • HttpHeaderName: Verwenden Sie diesen Parameter, um den Namen des HTTP- Header, der den API Schlüssel übergibt, vom Standard zu ändern X-API-Key.

  • QueryStringParameterName: Wenn Sie auch die AllowApiKeyInQueryString Option zum Übergeben des API -Schlüssels über einen der Abfrage. Mit dieser Option können Sie den Namen des Parameters vom Standardnamen ändern apiKey (siehe API -Schlüssel übergeben Abschnitt).

Klicken Sie auf Speichern und schließen Sie das Dialogfeld Eigenschaften. Der neu hinzugefügte Parameter wird in der Tabelle Eigenschaften aufgeführt.

Übergeben eines API Schlüssels

In den meisten Fällen empfiehlt Jitterbit, dass der Client den API Schlüssel über einen benutzerdefinierten Header in einer sicheren HTTPS-Verbindung übergibt, um das Risiko einer Offenlegung zu minimieren. Das folgende Beispiel veranschaulicht dies:

GET /App Builder/rest/v1/sales/customers HTTP/1.1
Host: example.com:443
Accept: application/json
X-API-Key: ABCd0eFG1hiJKLMnOPQr2s

Dies ist das Standardverhalten, das der App Builder automatisch übernimmt. Wenn Sie möchten oder müssen, können Sie die HttpHeaderName Parameter beim Konfigurieren Ihres API Schlüssels, um den Namen des HTTP- Header, der den API Schlüssel übergibt, vom Standard zu ändern X-API-Key.

Die folgenden Beispiele stellen einige Ausnahmen von dieser Empfehlung dar:

  1. In manchen Fällen werden HTTPS-Verbindungen vorzeitig beendet. Um dieses Problem zu umgehen, können Sie App Builder zwingen, über HTTP-Verbindungen gesendete API Schlüssel zu akzeptieren. Setzen Sie dazu die AllowInsecureHttp Parameter auf True während der API Schlüsselkonfiguration.

  2. Falls Sie keinen Zugriff auf die HTTP-Anforderungsheader haben, können Sie den API Schlüssel auch über die Abfrage senden. Um diese Option zu aktivieren, setzen Sie die AllowApiKeyInQueryString Zu True in den API Schlüsselkonfigurationen. Das folgende Beispiel veranschaulicht, wie der API Schlüssel in diesem Szenario übergeben wird:

    GET /App Builder/rest/v1/sales/customers?apiKey=ABCd0eFG1hiJKLMnOPQr2s HTTP/1.1
HOST: example.com:443
Accept: application/json

    Beachten Sie, dass im obigen Beispiel der Schlüssel unter dem Namen gesendet wurde apiKey. Sie können dies ändern, indem Sie zur API Schlüsselkonfiguration gehen und Hinzufügen der QueryStringParameterName Parameter, um einen anderen Namen auszuwählen.