Tyk API Gateway官方版

Tyk API Gateway简介

Tyk API Gateway可以帮助用户配置api，让企业快速设计API访问方式，对于需要管理API的朋友非常有帮助。您可以在软件中配置相关内容，配置访问模式，控制和限制流量，使用Tyk即时修改入站和出站文本数据和头，这可以通过脚本中间件或专用中间件来完成。您可以配置加密方法并提供许多功能来保护您的应用编程接口和您自己。Tyk将所有API令牌及其等效的会话对象存储在Redis数据库中。因此，默认情况下，Tyk会将Redis中的令牌与密钥哈希混淆，以保护您的API安全！

Tyk API Gateway软件功能

Tyk是一个开源的企业API，支持REST、GraphQL、TCP和gRPC协议。

Tyk Gateway由“Bas-included”提供，没有功能锁。使您的组织能够控制谁访问您的API，何时以及如何访问它们。

泰克科技的所有应用都使用相同的应用编程接口。为全球数以千计的组织和企业保护、保护和处理API。它是开办银行、在云中构建软件以及向团队、合作伙伴和消费者公开API的理想选择。

从头开始构建，使其成为地球上最快的API。它不依赖于以下遗留代理。除了Redis，它没有第三方依赖，用于分布式速率限制和令牌存储。Tyk Gateway还可以作为更大的全生命周期API管理平台Tyk Self-Mad的一部分进行部署，该平台还包括管理控制平面、仪表盘GUI和开发人员门户。

开源应用编程接口函数:

使用任何协议:REST、SOAP、GraphQL、gRPC和TCP。

行业标准认证:OIDC、JWT、不记名令牌、基础认证、客户端证书等。

开放API标准:将您的Swagger和OAS2/3文档导入到Tyk的脚手架API中。

超高能量:低延迟，单个CPU，可以横向纵向扩展数千个rp。

内容中介:从请求或响应头到SOAP和GraphQL之间的转换。

可扩展插件架构:通过用您选择的语言(从Python到Javascpt到Go或任何支持gRPC的语言)编写插件，定制Tyk的中间件链。

费率限制和配额:保护您的上游免受过载和/或对每个消费者施加限制。

API版本控制-API版本可以在特定的时间和周期轻松设置和放弃。

粒度访问控制-在每个版本和每个工作的基础上授予对一个或多个API的访问权限。

阻止/允许列表/忽略端点访问-在逐个版本的基础上为接入点实施严格的安全模型。

分析日志-记录关于谁在使用您的应用编程接口的详细使用数据(仅限原始数据)

CORS-启用CORS的一些应用编程接口，以便用户可以提出基于浏览器的请求。

网络挂钩-触发网络挂钩，用于配额违规和身份验证失败等事件。

IP允许列表-阻止对不可信IP地址的访问，以实现更安全的交互。

过载-您可以动态更改Tyk配置并重新启动服务，而不会影响任何活动请求。

Tyk API Gateway软件特色

Tyk OSS集成

Tyk Technologies可以与Tyk API Gateway结合使用的其他开源软件:

Tyk Pump可插拔分析器清理器，可以将Tyk节点生成的分析移动到任何后端。

Tyk操作符-在Kubernetes中引入API管理功能。使用自定义资源和Kubernetes本机原语来配置门户、API、安全策略、身份验证、授权、中介等。-所有这些。

用于第三方登录的Tyk身份验证代理

Tyk同步-命令行工具和库，用于管理Tyk安装并将其与版本控制系统同步(VCS)。

Tyk Mserv-资产和gRPC主机

Tyk API Gateway使用说明

请求标题

使用API定义翻译请求头。

使用Tyk，您可以在离开代理并将其传递给上游API或将响应代理返回给客户端之前修改标题。如果您有一个带有单个身份验证密钥的上游API，并且您想向其添加多用户访问权限，而不修改它或向其添加笨拙的身份验证方法来支持新用户，这将非常有用。

示例场景

您有一个名为WidgetsAPI的API，它带有一个x-widgets-secret头来允许访问，这是您的团队使用的一个内部API，但是您想将其公开给客户，并向他们收取访问费用。

您可以修改API，添加整个用户、密钥和访问管理系统，也可以使用Tyk为您注入这个头。

更新应用编程接口定义对象

使用Tyk，您可以将以下内容添加到扩展的paths.trannorm _ headers字段中，以设置应用编程接口定义:

现在，使用为此应用编程接口和版本设置的访问定义规则创建的Tyk密钥可以应用配额、限制和访问，而无需向现有应用编程接口添加任何新代码或函数。

使用仪表板转换请求标题。

要使用图形用户界面将新的头注入到请求中，您必须在应用编程接口定义的端点设计器部分编辑它。

步骤1:添加一个端点并选择修改头插件

您还必须将方法和请求模式设置为匹配。这些模式可以包含大括号中任何字符串形式的通配符。这些通配符是人类可读的，不会被转换为变量名。在底层，通配符被转换为“全部匹配”正则表达式:(。*).

步骤2:选择“请求”选项卡。

这确保了它仅适用于入站请求。

步骤3:修改安装标题

使用提供的字段选择要删除和插入的标题。请注意，您添加的所有标题都将大写。也就是说，如果您的x-request-id被添加到UI或API定义中，调用者将在响应中获得X-Request-Id。

步骤4:保存应用编程接口

保存应用编程接口后，如果请求路径和方法与您的模式匹配，到达您的端点的请求将被相应地修改。

全局修改请求标题

标题的全局注入和删除

在某些情况下，您可能希望向所有出站请求添加安全头(例如，验证流量是否来自)，因此请将其添加到API定义中的版本块:

使用这个global_headers_remove字段，可以从所有入站请求中删除标头，然后将其传递给您的服务。

通过仪表板添加全局注入

您也可以通过应用编程接口端点设计器和仪表板，通过选择全局版本设置来实现这一点:

将自定义动态数据注入标题

您还可以将用户会话对象中携带的内容注入到标题空间中。每个令牌或密钥都有一个附加的会话对象meta _ data，它包含一个字段，这是一个密钥/值映射，允许动态中间件和其他组件智能地对入站请求中的标识进行操作，而不会暴露它。

要在头转换中使用这些数据，您只需要访问特殊的$tyk_meta命名空间，这是一个有效的例子。

假设在会话对象中，您已经包含以下元数据:

要在头转换中使用它，您的API定义路径应该是:

仪表板中的元数据

变量名称($tyk_meta)也可以在仪表板字段中找到，并且将以相同的方式工作。

将上下文变量注入标题。

从2.2版本开始，Tyk允许使用$ tyk _ $tyk_context.namespace将上下文变量注入头中。有关更多信息，请参见上下文变量。

示例全局标题部分

相互TLS

使其工作的主要要求是SSL流量应该由Tyk本身终止。如果使用负载平衡器，应该将其配置为在TCP模式下工作。

Tyk如何支持双向TLS

Tyk在以下方面支持双向TLS:

客户端mTLS

上游MTL

云用户的最大传输速率:

云用户可以使用mTLS来保护自己的上游服务，但暂时无法完成客户端(API的调用者)和Tyk之间的mTLS。

多云用户-因为你拥有和管理它，你可以使用mTLS的上游

客户端mTLS

在Tyk中设置客户端MTL有两种方式:静态和动态。它们根据您的用例而有所不同。

动态客户端mTLS

Tyk可以配置为根据提供的客户端证书猜测用户身份验证密钥。换句话说，除了证书之外，用户不需要提供任何密钥，Tyk将能够识别用户、应用策略和监控用户——与常规密钥相同。

这里的基本思想是，您可以基于提供的证书创建密钥。，您可以将此密钥或证书用于一个或多个用户。

快速启动

1.要设置，请通过在API设计器中设置“身份验证类型”来保护API，从“目标详细信息”开始>:在身份验证模式下选择身份验证令牌。选择启用客户端证书，如下所示:

2.让我们为下面的使用生成一个自签名密钥对。如果您已经拥有自己的证书，请跳过这一步。

open SSL req-x509-new key RSA:40-key out key . PEM-out cert . PEM-days 365-nodes

3.通过仪表板添加密钥，并从“访问权限”的步骤1中选择应用编程接口

您为此密钥上传的证书只能是公钥。

4.现在，我们可以使用cert+私钥为这个API创建一个cL。

开发人员门户-自助证书信任

我们可以通过开发人员门户公开上述API，而不是手动创建密钥。在开发人员门户中，开发人员可以添加自己的证书来访问API。

1.为我们上面设置的应用编程接口创建一个策略。

2.为此策略创建一个目录条目

3.作为门户网站的开发者，请索取此API的密钥。这将把我们带到这个屏幕:

在此添加您的公共证书(上面的cert.pem)，然后单击“请求密钥”。

现在，我们只需要使用pub+私钥来发出API请求:

静态mTLS

静态mTLS仅意味着将API级客户端证书列入白名单。

要进行设置，请在应用编程接口身份验证设置中，选择mTLS和另一种身份验证类型。如果您不想使用其他身份验证类型，即只使用客户端证书，请选择“无密钥”作为其他类型。

基本身份可以是任何值，因为唯一的配置是客户端证书。

应该是这样的:

方法转换请求

从Tyk Gateway v2.2开始，您现在可以更改请求的方法。要启用，请添加到您的扩展路径:

笔记

目前这个函数很简单，只改变方法的类型，不处理请求体的消息数据。但是，方法转换、上下文变量和主体转换可以结合使用，以达到类似的效果。

使用仪表板

要在仪表板中执行此操作，请从端点上的插件下拉列表中选择要从API端点设计器转换的方法tranorm。

选择要更改的路径。