我按照以下WSO2文档中提到的步骤使用WSO2 IS作为具有WSO2 APIM的Identity Server .
我使用WSO2 IS 5.3.0和WSO2 APIM 2.1.0 .
https://docs.wso2.com/display/AM210/Configuring+WSO2+Identity+Server+as+a+Key+Manager
我可以访问WSO2 IS和WSO2 APIM中的碳管理控制台(在两个端口中)
https://localhost:9443/carbon/admin/login.jsp https://localhost:9444/carbon/admin/login.jsp
- 当我使用WSO2 IS控制台(9443)更改用户角色时,大多数时候使用相同的访问令牌立即反映它 . 怎么可能? WSO2提供了一些访问令牌,其中包含一些预配置的范围 . 在同一登录会话中,即使在访问令牌到期之前,如果我们更改登录用户的角色,则会立即应用角色更改并更改我的访问权限?它有效吗?
假设用户“USER1”获得具有特权的访问令牌,并且他/她能够访问特权API . 突然,如果更改角色并为用户“USER1”分配了普通用户权限,则用户无法访问同一登录会话中的特权API . 这是OAuth如何运作的?
请帮我理解 .
- 如果我更改了WSO2 APIM(9444)中的角色,则不会立即反映角色 . 有时,它会等待访问令牌过期并获取新的访问令牌 . 有时,即使在访问令牌过期之前,也会应用角色更改 .
WSO2 IS和WSO2 APIM之间的同步间隔是多少,以同步角色?
我在mysql db或ldap中找不到这些角色 . 它们存放在后端的哪个位置?
1 回答
IS作为密钥管理器和API Manager的内置密钥管理器存在差异 . API管理器附带的密钥管理器不是一个完整的身份解决方案 . 因此,它在范围映射,访问控制等方面的作用在身份管理方面的观点上有所限制 . 充当密钥管理器的身份服务器提供完整的访问控制机制,因此角色的更改应尽可能快地影响,即使对于问题密钥也是如此 . 这是使用IS作为密钥管理器的原因之一 .
Ans:让我们说用户在获得访问令牌时拥有管理员权限 . 企业可能会决定用户不再需要此权限并在其LDAP上进行更改 . 它应该尽快反映在密钥验证上 . 否则,用户继续以特权用户的身份访问该服务,直到密钥到期为止,这是不希望的 . 所以行为是有效的 .
答:是的,API Manager在管理API方面非常强大 . 但是,它不是一个使用/角色管理系统 . 因此,反映角色变化将会有相当大的延迟 . 因此,当您的API Manager配置了IS时,请确保使用IS来管理用户/角色等 .
它应该在WSO2UM_DB配置(UM_ROLE表)中,如果JDBC用户存储是您的主UserStore .