このトピックでは、モバイルアプリやHTMLページなどのビジネスシステムのコードを使用して、API Gatewayコンソールで作成および公開したAPIを呼び出す方法について説明します。 このトピックでは、次のコンテンツについて説明します。-コードを使用したセキュリティ認証方法、使用シナリオ、およびAPI呼び出し方法 -異なるネットワーク環境でのAPI呼び出しメソッド -管理者アカウントを使用したアプリ認証管理
1. セキュリティ認証方法
認証なし
APIは、認証なしでクライアントで呼び出すことができます。 この方法は安全ではなく、一時的なテストにのみ適しています。 この方法はお勧めできません。
シンプル認証用のAppCode
この方法は使いやすいですが、安全ではありません。 この方法は、内部ネットワークを介して接続されているシステム間でAPI呼び出しを行うシナリオに適しています。 API Gatewayは、クライアントからのAPIリクエストのヘッダーまたはクエリパラメーターに認証用の有効なAppCodeが含まれているかどうかを確認します。 詳細については、「AppCodeを使用したAPI操作の呼び出し」をご参照ください。
ダイジェスト認証
この方法は、AppCodeベースの認証方法よりも安全で、より多くのシナリオに適しています。 この認証方法を使用して公開APIを呼び出す場合、クライアントは割り当てられたAppKeyとAppSecretを使用して、要求されたコンテンツの署名を計算します。 次に、クライアントは、検証のためにHTTPリクエストで鍵ペアと署名をAPIゲートウェイに送信します。
-API Gateway SDKは署名メカニズムと統合されています。 さまざまな言語のSDKを使用してAPIを呼び出すことができます。 詳細については、「SDKを使用したAPIの呼び出し」をご参照ください。
-クライアントで署名を計算する場合は、「署名の要求」をご参照ください。
JWTベースの認証
この方法では、JSON Webトークン (JWT) 認証プラグインが必要です。 この方法は最高のセキュリティを提供し、JavaScriptやwebフロントエンド開発など、セキュリティリスクを引き起こす可能性のあるシナリオに適しています。 詳細については、「JWT認証」をご参照ください。
2. API呼び出しのネットワーク環境
クライアントは、インターネットまたはVPC経由でAPIリクエストを開始できます。 インターネット経由のAPI呼び出しの詳細については、「セキュリティ認証方法」をご参照ください。
VPCを介したAPI呼び出しの詳細については、以下のトピックを参照してください。
3. 承認管理
APIの作成時にSecurity CertificationがAlibaba Cloud APPに設定されている場合、APIを呼び出す前にアプリを承認する必要があります。 アプリを作成して承認することができます。 アプリIDに基づいて、他のユーザーが作成したアプリを承認することもできます。 アプリは、APIの呼び出しに使用するIDです。 各アプリには、AppKeyとAppSecretで構成されるキーペアがあります。 アプリでAPIを呼び出すと、AppKeyがリクエストのヘッダーフィールドとして指定され、AppSecretを使用してリクエストに添付されている署名文字列が計算されます。
詳細については、「アプリケーションにAPI操作の呼び出しを許可する」をご参照ください。