API Gateway e-Book

Warum dieses Buch?

API-Gateways sind zentrale Komponenten moderner Softwarearchitekturen. Egal ob du mit Microservices arbeitest, APIs absicherst oder den Datenverkehr steuerst – dieses Buch bietet dir einen praxisnahen Leitfaden, gestützt auf jahrzehntelange Erfahrung und Open-Source-Entwicklung.

Für wen ist das Buch?

Dieses Buch richtet sich an Softwareentwickler, Architekten, DevOps-Engineers und Produktmanager, die mit APIs arbeiten und verstehen wollen, wie man API-Gateways effektiv entwirft, einsetzt und betreibt.

Was steckt drin?

Grundlagen
1. Application Programming Interface API
2. Hypertext Transfer Protocol HTTP
3. HTTP Clients: curl, Postman, REST Client
4. Reverse Proxies
API Gateways
- Aufgaben von API Gateways
- Arten von API Gateways
  - Edge Gateway
  - Cloud Gateway
  - Gateway Libraries
  - Kubernetes API Gateways
  - Sidecars in einem Service Mesh
  - Künstliche Intelligenz Gateways
- Open Source API Gateways
Funktionsweise von API Gateways
- Plugins
- Nachrichtenfluss
  - Platzierung von Plugins
  - Native Plugins und Plugin Runners
- Ausdruckssprachen
- Eigene Plugins
Bereitstellung
- Gateway-Komponenten
- Gateway-Positionierung
  - APIs für andere Unternehmen bereitstellen
  - Backend-for-Frontend (BFF) Pattern
  - Zero Trust
  - Ausgehende Gateways
  - Interne Gateways
- Clustering von Gateways
- Gateways verketten
Installation und Konfiguration
- Containerisierte Gateways
- APIOps
- OpenAPI-basierte Konfiguration
Performance
- Latenz
- Bandbreite (Durchsatz)
  - Performance-Tuning
API-Orchestrierung
Sicherheit
- SSL/TLS
  - API Gateways und TLS-Verbindungen
- Inhaltsschutz
  - Angriffe mit JSON
- API-Keys
  - Was sind API-Keys?
- JSON Web Tokens
  - Was ist ein JSON Web Token?
  - JWTs dekodieren
  - API mit JWT schützen
  - Mehrschichtige Absicherung & mehrere APIs
  - Architekturüberlegungen
- OAuth2/OIDC
  - OAuth2 vs OIDC
  - OAuth2-Flows
  - OpenID Connect Core
  - Notizen
  - OpenID Connect Discovery
- Nachrichtenvalidierung
  - Output-Validierung
  - Fehlermeldungen beschreiben
  - JSON-Validierung
  - XML-Validierung
  - OpenAPI-Validierung
- Datenmaskierung
- Sicherheit für Legacy-Protokolle
  - WSDL-Validierung
- CORS – Cross Origin Resource Sharing
  - CORS Preflight
  - CORS-Probleme mit Gateway verhindern
  - CORS-Unterstützung in Gateways

Part II API Gateways in der Praxis

Membrane API Gateway
- Installation und erste Schritte
- API-Konfiguration
Routing von Anfragen
- Reihenfolge der API-Definitionen
- Routing-Kriterien
- URI-Templates
Message- und Exchange-Objekte
- Message-Eigenschaften
Antworten erzeugen mit Short Circuit
- Best Practice: 404 Not Found behandeln
- Best Practice: Ressourcen temporär blockieren
Transformation und Nachrichtenmanipulation
- HTTP-Header manipulieren
- HTTP-Header an das Backend übergeben
  - Header- oder Property-Werte berechnen
- HTTP-Header entfernen
- Body-Transformation
  - Make it nice
- Templates
  - Statischer Inhalt
  - Dynamisch gerenderter Inhalt mit Templates
Steuerung des Ablaufs
- Bedingungen
OpenAPI
- Konfiguration
- OpenAPI Address Rewriting
- Gateway-Traffic verifizieren
- OpenAPI Rewriting konfigurieren
- OpenAPI-Validierung
  - Request-Validierung in Membrane aktivieren
- ApiOps mit OpenAPI
API-Orchestrierung
- Backend-APIs aggregieren
- Authentifizierung für Backend-API
- RESTful List Resources verarbeiten
Sicherheit
- SSL/TLS
  - Zugriff auf Backends über TLS
  - Beenden von TLS-Verbindungen
  - Mutual Authentication mit TLS
  - Material
- Access Control Lists
- JSON-Schutz
- XML-Schutz
- GraphQL-Schutz
- Basic Authentication
- JWTs
  - JWTs erzeugen
  - JWTs verifizieren
  - Tipps
- OAuth2/OIDC
  - Token-Verifikation
  - Authorization Code Flow
  - B2C
  - Tipps
Webservices
- Beispieldienst
- Mocking eines Webservices
  - soapBody Template
- SOAP Webservices als REST APIs bereitstellen
  - Template-basiert
- SOAPProxy
Betrieb
- Admin-Konsole
  - Konsole aktivieren
  - Konsole absichern
- Zugriffslog
- API-Tracing
  - OpenTelemetry
- Monitoring
- Nachrichten inspizieren
  - Exchange Stores
Performance
Material