使用转换策略屏蔽 URL
组织可能需要在短时间内调整 API 发布的信息。 例如,为符合法规要求的变更或应对新的安全威胁。
人口普查 API 会公开有关从中调用 API 的 URL 的详细信息。 恶意用户可能会利用此信息,试图绕过 API 管理网关并公开安全级别较低的终结点来访问人口普查数据。 作为首席开发人员,你希望在 API 的响应正文中屏蔽这些 URL。
在这里,你将了解如何使用 API 管理策略来操作 API 响应标头和正文的内容。
为什么要转换响应?
API 调用的响应正文包含正在请求的数据。 例如,在人口普查 API 中,响应正文包含调查对象的 JSON 数据。 还可以看到正文是如何包含用于查看个人信息的 URL 链接的:
这些链接基于人口普查 API 终结点,需要进行屏蔽,使其显示 API 管理 URL。
要实现此配置,请创建转换策略。
注意
最佳做法是使用 API 管理中的可用机制之一来保护后端 API。 例如,将其配置为需要客户端证书,然后配置API 管理以提供该证书。 在此配置中,没有人可以直接调用后端 API 并避开 API 管理网关,因为他们没有后端能识别的证书。
转换策略
转换策略可修改 API 调用的内容。 一些转换策略适用于标头,另一些转换策略适用于正文。 可以使用以下转换:
| 转换 | 说明 |
|---|---|
| 将 JSON 转换为 XML | 将请求或响应正文从 JSON 转换为 XML。 |
| 将 XML 转换为 JSON | 将请求或响应正文从 XML 转换为 JSON。 |
| 在正文中查找并替换字符串 | 查找请求或响应子字符串并将其替换为不同的子字符串。 |
| 在内容中屏蔽 URL | 重写响应正文中的链接,使其通过网关指向等效的链接。 |
| 设置后端服务 | 更改传入请求的后端服务。 |
| 设置正文 | 设置请求或响应的消息正文。 |
| 设置 HTTP 标头 | 向现有的响应或请求标头赋值,或者添加新的响应或请求标头。 |
| 设置查询字符串参数 | 添加、删除请求查询字符串参数或替换其值。 |
| 重写 URL | 将请求 URL 从其公用格式转换为 Web 服务所需的格式。 |
| 使用 XSLT 转换 XML | 在请求或响应正文中将 XSL 转换应用到 XML。 |
在以下练习中,使用过滤内容中的 URL 转换来更改链接。