ГлавнаяБлогСобеседование Apigee: 11 вопросов по API Management
Карьера

Собеседование Apigee: 11 вопросов по API Management

Разбор 11 вопросов с собеседования Apigee: кэширование, OAuth, JWT, квоты, Spike Arrest. Практические ответы и примеры кода для подготовки.

Al
Редакция Algolitalgolit.ru
12 мин чтения1 июля 2026 г.

Введение: зачем читать эту статью?

Готовитесь к собеседованию по Apigee API Management? В этой статье я разберу 11 реальных вопросов, которые мне задавали на интервью. Вы узнаете не только теорию, но и практические сценарии: как настроить квоты для разных пользователей, чем отличается OAuth от JWT и как работает взаимный TLS. К каждому вопросу — ответ с примерами на Python и советами для продакшена.

1. Какие типы кэша есть в Apigee? (Response Cache)

Кэширование повышает производительность API, сокращая число обращений к бэкенду. Интервьюер спросил именно про Response Cache, но важно понимать все политики кэширования.

Response Cache

Сохраняет полный ответ бэкенда. Возвращает закэшированный ответ для идентичных запросов. Снижает нагрузку на бэкенд и улучшает время отклика.

Примеры использования:

  • Каталог товаров
  • Список стран
  • Курсы валют
  • Публичные API с редкими обновлениями

Другие политики кэша

  • Populate Cache — сохраняет произвольные данные в кэш.
  • Lookup Cache — извлекает данные из кэша.
  • Invalidate Cache — удаляет записи при изменении данных.

Ключевые преимущества: более быстрые API, снижение задержки, меньший трафик к бэкенду, лучшая масштабируемость.

2. В чем разница между One-Way SSL и Two-Way SSL?

SSL защищает соединение между клиентом и сервером.

One-Way SSL (аутентификация сервера)

Клиент проверяет сертификат сервера. Сертификат клиента не требуется. Поток: клиент → сервер (сертификат) → проверка → защищённое соединение.

Обычное использование: публичные REST API, веб-сайты, мобильные приложения.

Two-Way SSL (взаимный TLS)

Клиент и сервер обмениваются сертификатами и проверяют друг друга. Поток: клиент ↔ сервер (обмен сертификатами) → взаимная проверка.

Обычное использование: банковские API, медицинские API, государственные приложения, корпоративные интеграции.

Совет для собеседования: Apigee поддерживает Mutual TLS через настройку truststore и keystore.

3. В чем разница между аутентификацией и авторизацией?

Один из самых частых вопросов.

Аутентификация

Проверяет, кто вы. Примеры: логин/пароль, OAuth, JWT, сертификаты.

Пример: вход в Gmail — Google проверяет вашу личность.

Авторизация

Определяет, что вам разрешено делать после аутентификации.

Пример: администратор может создавать и удалять пользователей, а читатель — только просматривать.

Запоминалка: аутентификация = личность, авторизация = права.

4. Разница между Quota и Spike Arrest

Обе политики управления трафиком, но решают разные проблемы.

Quota

Контролирует общее количество запросов за период (например, 1000 запросов в день). После достижения лимита запросы отклоняются. Сценарии: планы подписки, лимиты на клиента, биллинг.

Spike Arrest

Сглаживает внезапные всплески трафика (например, 100 запросов в секунду). Если пришло 1000 запросов мгновенно, Spike Arrest распределяет их. Сценарии: защита бэкенда, сглаживание трафика.

QuotaSpike Arrest
Общее количество запросовСкорость запросов
Основан на времени (день/месяц)Основан на всплесках (сек/мин)
Контроль подпискиЗащита бэкенда

5. Разница между JavaScript slice() и split()

split() преобразует строку в массив. Пример:

let str = "Apigee,OAuth,JWT";
str.split(",");
// Результат: ["Apigee", "OAuth", "JWT"]

slice() извлекает часть строки или массива. Пример:

let str = "Apigee";
str.slice(0, 3);
// Результат: "Api"

Отличие: split() — строка → массив, slice() — возвращает выбранную часть.

6. Как обрабатывать разные квоты для разных пользователей?

Сценарийный вопрос. Ответ: в Apigee политики Quota могут использовать идентификаторы: API Key, Client ID, Developer App, Access Token, Custom Header.

Пример:

  • Бесплатный план: 1000 запросов/день
  • Премиум: 10000 запросов/день
  • Корпоративный: безлимит

Подходы:

  • Разные API Products с разными лимитами.
  • Условные политики Quota.
  • Квота на основе OAuth-клиента или API-ключа.
  • Динамические значения через flow variables или Key-Value Maps (KVM) для изменения лимитов без переразвёртывания прокси.

Это частый реальный сценарий в Apigee.

7. Разница между OAuth и JWT

Многие путают. OAuth — это фреймворк авторизации, JWT — формат токена.

OAuth решает: может ли пользователь получить доступ к API? JWT безопасно переносит информацию о пользователе.

OAuth может использовать JWT или opaque-токены. JWT может работать и без OAuth.

OAuthJWT
Фреймворк авторизацииФормат токена
Предоставляет доступ к APIХранит утверждения (claims)
Поддерживает несколько grant typesСамодостаточный токен
Может использовать JWTМожет работать без OAuth

8. Как генерировать и проверять JWT в Apigee?

Генерация JWT

Используйте политику GenerateJWT. Шаги:

  1. Настройте издателя (iss).
  2. Настройте субъект (sub).
  3. Добавьте claims: роль, ID пользователя.
  4. Установите срок действия (exp).
  5. Подпишите токен с помощью общего секрета (HS256) или приватного ключа (RS256).

Пример claims: iss, sub, aud, exp, role, department.

Проверка JWT

Используйте политику VerifyJWT. Проверка включает: подпись, срок действия, издателя, аудиторию, алгоритм, опционально — кастомные claims. Если проверка успешна, запрос продолжается; иначе — ошибка авторизации.

9. С какими OAuth 2.0 Grant Types вы работали?

Интервьюер хотел услышать практический опыт, а не определения.

  • Client Credentials — для machine-to-machine (микросервис A вызывает микросервис B).
  • Authorization Code — для веб-приложений с логином пользователя.
  • Authorization Code with PKCE — для мобильных приложений и SPA (защита от перехвата кода).
  • Refresh Token — получение нового access token без повторного логина.
  • Password Grant (устаревший) — только для легаси-систем, не рекомендуется.

10. Есть ли ограничение на размер полезной нагрузки в Apigee?

Да. Apigee поддерживает большие нагрузки, но лимиты зависят от: конфигурации платформы, лимитов рантайма, ограничений бэкенда, настроек балансировщика, таймаутов и памяти. Большие нагрузки увеличивают задержку и потребление памяти, их следует избегать.

Лучшие практики: сжимайте GZIP, используйте пагинацию, стриминг данных, избегайте излишне больших тел запросов и ответов.

11. Когда использовать OAuth, а когда JWT?

OAuth — когда нужна безопасная авторизация API, несколько приложений потребляют API, требуется управление жизненным циклом токенов (выпуск, отзыв, обновление). Примеры: банковские API, корпоративные API, партнёрские API.

JWT — когда нужен компактный самодостаточный токен, предпочтительна stateless-аутентификация, claims должны путешествовать с токеном, требуется быстрая проверка без обращения к БД. Примеры: микросервисы, Single Sign-On (SSO), внутренние API.

В корпоративных развёртываниях часто используются вместе: OAuth 2.0 управляет авторизацией, а JWT — формат access token.

Практический вывод

Эти 11 вопросов покрывают ключевые темы собеседования по Apigee. Чтобы подготовиться, сосредоточьтесь на:

  • API Security (OAuth, JWT, SSL)
  • Traffic Management (Quota, Spike Arrest)
  • Кэширование
  • JavaScript Policies
  • Разработка API Proxy
  • Аутентификация vs Авторизация
  • OAuth Grant Types
  • Генерация и проверка JWT
  • Реальные сценарии внедрения

Освоив эти концепции, вы сможете не только объяснить, что делает функция, но и почему и когда её использовать. Удачи на собеседовании!

#Apigee#API Management#собеседование#OAuth#JWT
Al
Редакция Algolit

Пишем про алгоритмы, подготовку к собеседованиям и карьеру в IT — так, чтобы было понятно и полезно.

Хочешь закрепить знания на практике?

Решай задачи на Algolit — интерактивная платформа для обучения

Начать бесплатно →