5 Cách Dễ Dàng Kiểm Soát Truy Cập Tài Liệu API Trong Apidog

Sau khi viết tài liệu API của bạn và chuẩn bị xuất bản, một câu hỏi quan trọng nảy sinh: Ai có thể xem tài liệu này?

Tài liệu có nên hoàn toàn công khai? Hay chỉ giới hạn cho đội ngũ nội bộ của bạn? Có thể các đối tác bên ngoài của bạn cần quyền truy cập—nhưng không phải bất kỳ ai cũng được.

Việc tạo một phiên bản tài liệu riêng biệt cho từng kịch bản sẽ tốn thời gian và không hiệu quả. Trên thực tế, nhu cầu truy cập thường rất cụ thể—có thể chỉ một bộ phận nên xem nó, hoặc có lẽ đối tác của bạn chỉ nên truy cập nó từ trong mạng nội bộ của công ty họ.

May mắn thay, Apidog cung cấp nhiều tùy chọn kiểm soát truy cập để đáp ứng tất cả các nhu cầu này. Khi xuất bản một trang tài liệu, chỉ cần chọn phương pháp kiểm soát truy cập phù hợp với trường hợp sử dụng của bạn.

thiết lập kiểm soát truy cập tài liệu API trong Apidog

1. Công khai: Bất kỳ ai cũng có thể xem

Đặt tài liệu API ở chế độ công khai trong Apidog

Nếu API của bạn mở cho công chúng sử dụng—như API mở của sản phẩm của bạn—chỉ cần đặt kiểm soát truy cập thành "Công khai". Bất kỳ ai có liên kết đều có thể xem tài liệu.

Mẹo chuyên nghiệp: Apidog cũng có một API Hub, một nền tảng kiểu thị trường nơi các nhà phát triển có thể duyệt và khám phá API. Xuất bản tài liệu của bạn ở đó để tăng khả năng hiển thị và mức độ chấp nhận.

2. Bảo vệ bằng mật khẩu: Rào cản đơn giản

Đặt tài liệu API được bảo vệ bằng mật khẩu trong Apidog

Đôi khi bạn không muốn tài liệu của mình hoàn toàn công khai, nhưng bạn cũng muốn tránh thiết lập phức tạp. Bảo vệ bằng mật khẩu là một giải pháp đơn giản—đặt mật khẩu, và chỉ những người biết mật khẩu mới có thể truy cập tài liệu.

Thiết lập dễ dàng:

Chọn “Bảo vệ bằng mật khẩu”
Đặt mật khẩu thủ công hoặc để hệ thống tự tạo
Chia sẻ nó với đồng nghiệp hoặc đối tác

Tốt nhất cho: Chia sẻ ngắn hạn hoặc tạm thời, như cho phép đối tác xem xét thiết kế API của bạn. Sau đó, chỉ cần cập nhật mật khẩu hoặc hủy xuất bản tài liệu. Đơn giản và rõ ràng.

Nhưng hãy nhớ: Mật khẩu có thể bị chia sẻ ngoài ý muốn. Nếu bạn cần kiểm soát chặt chẽ hơn, hãy xem xét các tùy chọn khác.

3. Danh sách IP cho phép: Hạn chế truy cập vào các mạng cụ thể

Bảo vệ tài liệu API bằng danh sách IP cho phép trong Apidog

Nếu nhóm hoặc đối tác của bạn có trụ sở tại các văn phòng cố định, danh sách IP cho phép có thể là lựa chọn tốt nhất của bạn.

Nó hoạt động như sau:

Chỉ người dùng từ các địa chỉ IP hoặc dải IP được chỉ định mới có thể truy cập tài liệu
Các IP không được phép sẽ tự động bị từ chối

Hãy coi nó như một tường lửa cho tài liệu của bạn.

Tài liệu API có thể được truy cập bởi các IP cụ thể

Tốt nhất cho:

Môi trường doanh nghiệp
Hạn chế truy cập vào mạng nội bộ của bạn
Chỉ cho phép đối tác truy cập từ mạng văn phòng của họ

Bạn có thể cấu hình một IP duy nhất hoặc toàn bộ dải IP.

Thêm nữa: Bạn cũng có thể bật danh sách IP cho phép để truy cập dự án nhóm trong Cài đặt nhóm của Apidog (yêu cầu gói Enterprise). Sau khi bật, chỉ người dùng từ các IP được phép mới có thể truy cập các dự án nội bộ của bạn.

4. Danh sách Email cho phép: Truy cập dựa trên danh tính

Bảo vệ tài liệu API bằng danh sách Email cho phép trong Apidog

Lo ngại rằng mật khẩu có thể bị rò rỉ hoặc IP có thể thay đổi thường xuyên? Danh sách email cho phép là một giải pháp thay thế linh hoạt, an toàn.

Chỉ cần thêm địa chỉ email của nhóm hoặc đối tác của bạn vào danh sách cho phép. Người dùng sau đó có thể truy cập tài liệu thông qua mã xác minh email một lần.

Nó cũng hỗ trợ ký tự đại diện—ví dụ, *@apidog.com cho phép tất cả người dùng có tên miền của công ty bạn truy cập tài liệu.

Lợi ích:

Dễ quản lý: thêm hoặc xóa người dùng khi cần
An toàn hơn mật khẩu: người dùng không được phép không thể xem tài liệu ngay cả khi họ có liên kết
Tuyệt vời cho các nhóm phân tán hoặc lực lượng lao động di động

5. Trang đăng nhập tùy chỉnh: Tích hợp với hệ thống xác thực của riêng bạn

Bảo vệ tài liệu API bằng trang đăng nhập tùy chỉnh trong Apidog

Nếu không có phương pháp nào ở trên đáp ứng nhu cầu của bạn, có một tùy chọn nâng cao hơn—Trang đăng nhập tùy chỉnh. Điều này cho phép bạn kết nối hệ thống xác thực của riêng mình để kiểm soát truy cập.

Đây là cách nó hoạt động:

Khi người dùng cố gắng truy cập trang tài liệu, họ sẽ được chuyển hướng đến trang đăng nhập của bạn.
Sau khi xác thực, máy chủ của bạn tạo một mã JWT.
Người dùng được chuyển hướng trở lại trang tài liệu với mã thông báo dưới dạng tham số.
Apidog xác minh mã thông báo và cấp quyền truy cập nếu nó hợp lệ.

Cách tiếp cận này cho phép bạn xác định quyền chính xác theo nhu cầu kinh doanh của mình. Mặc dù nó yêu cầu một số phát triển, nhưng nó rất phù hợp cho các công ty có nhu cầu kiểm soát truy cập phức tạp.

Kiểm tra Tài liệu trợ giúp để biết chi tiết về việc triển khai trang đăng nhập tùy chỉnh.

Cách chọn phương pháp kiểm soát truy cập phù hợp

Với rất nhiều tùy chọn, bạn có thể tự hỏi: Tôi nên chọn cái nào?

Nó phụ thuộc vào trường hợp sử dụng của bạn:

Trường hợp sử dụng	Phương pháp đề xuất
API công khai, muốn hiển thị rộng rãi	Truy cập công khai
Làm việc nhóm hoặc chia sẻ tạm thời với bên ngoài	Bảo vệ bằng mật khẩu
Bảo mật mạng nội bộ hoặc mạng đối tác	Danh sách IP cho phép
Kiểm soát truy cập theo danh tính người dùng	Danh sách Email cho phép
Sử dụng hệ thống đăng nhập của riêng bạn	Trang đăng nhập tùy chỉnh

Mẹo: Bạn có thể kết hợp nhiều phương pháp. Ví dụ:

Sử dụng danh sách IP cho phép cho các thành viên nhóm nội bộ
Sử dụng danh sách email cho phép cho các đối tác bên ngoài
Sử dụng bảo vệ bằng mật khẩu cho các bản demo tạm thời

Với Apidog, bạn có thể xuất bản nhiều trang tài liệu, mỗi trang có kiểm soát truy cập riêng và một bộ điểm cuối API được điều chỉnh. Điều đó có nghĩa là các đối tượng khác nhau chỉ thấy những gì họ cần—không hơn, không kém.

button