שימוש ב- Basic authorization

מאמר זה יסביר וידריך כיצד להגן על שימוש ב-API באמצעות Basic authorization.

מה זה Basic authentication?

Basic authorization היא למעשה שיטה פשוטה לאימות משתמש בעת שליחת בקשות ל-API.
שיטה זו מבוססת על שליחת שם משתמש + סיסמה בתוך ה-Header כמנגנון הזדהות.
המשתמש והסיסמה מומרים מ-String של user:password ל-Base64 והוא זה שנשלח ב-Header.
למשל, אם שם המשתמש הוא 'apiUser' והסיסמה היא '12345', יש לשרשר אותם בצורה הבאה – apiUser:12345 ואת הערך הזה נמיר ל-base64, כלומר נקבל YXBpVXNlcjoxMjM0NQ==.
ה-Key (ב-Header) יהיה 'Authorization' וה-Value יהיה 'YXBpVXNlcjoxMjM0NQ=='.

Authorization: Basic YXBpVXNlcjoxMjM0NQ==

איך מגנים על API באמצעות Basic authentication ב-API Manager?

בכדי שנוכל להשתמש ב-Basic authentication עבור לקוח מסוים, יש לבצע תחילה את הפעולות הבאות:

• יש לוודא תחילה כי האופציה של Basic authentication פעילה ב-API הנדרש תחת ה-API Manager – Publisher. (יש לוודא כי הינכם נמצאים על הסביבה הנכונה)
  אופציה זו נמצאת ב- Develop – API Configuration – Runtime, תחת האקורדיון של Application level security.

• לאחר סימון אופציה זו, יש לבצע Save and deploy.
• יש לוודא כי ב-API Manager – Developer ה-Application הנדרש Subscribed ל-API. (יש לוודא כי הינכם נמצאים על הסביבה הנכונה)

• יש להיכנס כעת ל-WSO2 API Manager Management Console (יש לוודא כי הינכם נמצאים על הסביבה הנכונה)
• לבחור 'Add' תחת Users & Roles.
  לבחור ב-Add new user.

• למלא את פרטי השדות (Username, Password, Confirm password) וללחוץ על Next.
• על מנת שהמשתמש לא יקבל הרשאות להיכנס לסביבת ה-API Manager Management Console, יש לבחור הרשאה מינימלית, לכן, יש לבחור ב-Internal/subscriber.
  זו הרשאה הנדרשת עבור גישה ל-API.

• בסיום ללחוץ Finish ולוודא שהמשתמש התווסף.
• כעת ניתן לבדוק אם ניתן לגשת ל-API באמצעות ה-Try outs ב-API Manager – Developer או באמצעות Postman או דרך פנייה ל-API באופן חיצוני.