Authentifizierung und Autorisierung zu API-Deployments hinzufügen
Erfahren Sie, wie Sie API-Gateways mit dem API-Gateway-Service Authentifizierungs- und Autorisierungsfunktionen hinzufügen.
Sie können den Zugriff auf APIs, die Sie in API-Gateways bereitstellen, auf Basis des API-Clients kontrollieren, der eine Anforderung sendet. Außerdem können Sie definieren, welche Aktionen dieser ausführen darf. Für die von Ihnen bereitgestellten APIs geben Sie in der Regel Folgendes an:
- Authentifizierungsfunktion zur Bestimmung der Identität eines API-Clients. Ist der API-Client wirklich der, der er zu sein behauptet?
- Autorisierungsfunktionalität zum Bestimmen des entsprechenden Zugriffs für einen API-Client und zum Erteilen der erforderlichen Berechtigungen. Was darf der API-Client tun?
Sie können eine Authentifizierungs- und Autorisierungsfunktionalität zu API-Gateways hinzufügen, um Folgendes zu unterstützen:
- HTTP-Basisauthentifizierung
- API-Schlüsselauthentifizierung
- OAuth-Authentifizierung und -Autorisierung
- Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) mit Identitätsdomainauthentifizierung
- Oracle Identity Cloud Service-(IDCS-)Authentifizierung
Sie können einem API-Gateway wie folgt eine Authentifizierungs- und Autorisierungsfunktionalität hinzufügen:
- Sie können veranlassen, dass das API-Gateway ein Multi-Argument- oder Einzelargument-Zugriffstoken übergibt, das in einer Anforderung an eine in OCI Functions zur Validierung bereitgestellte Autorisiererfunktion enthalten ist (siehe Token an Autorisiererfunktionen übergeben, um Authentifizierung und Autorisierung zu API-Deployments hinzuzufügen).
- Sie können veranlassen, dass das API-Gateway selbst ein JSON Web Token (JWT) validiert, das in der Anforderung mit einem Identitätsprovider enthalten ist (siehe Token zum Hinzufügen von Authentifizierung und Autorisierung zu API-Deployments validieren).
Der Einfachheit halber werden diese verschiedenen Arten von Authentifizierungs- und Autorisierungsfunktionen als "Authentifizierungsserver" bezeichnet. Sie können mehrere Authentifizierungsserver für dasselbe API-Deployment einrichten. Die eingerichteten Authentifizierungsserver können vom gleichen oder einem anderen Typ sein. Wenn Sie mehrere Authentifizierungsserver für dasselbe API-Deployment einrichten, kann eine Anforderung basierend auf einem Element in der Anforderung dynamisch an den richtigen Authentifizierungsserver weitergeleitet werden. Weitere Informationen finden Sie unter Mehrere Authentifizierungsserver zu demselben API-Deployment hinzufügen