我对最终用户身份验证如何与WSO2 AM一起工作感到困惑 .
默认情况下,WSO2 AM看起来像OAuth流的用户身份验证服务器,因此根据通过API Store输入并存储在密钥管理器中的用户凭据进行验证 . 但这些用户不是目标API的最终用户,而是已注册构建应用程序以使用API的开发人员 . 这对我来说没有意义,所以也许我误解了文档?
我需要并且认为大多数其他API发布者需要的是能够根据API发布者的用户身份验证API对最终用户进行身份验证,因此WSO2 AM通过重定向将代理用户身份验证委托给此类外部身份验证API(在授权授权的情况下)或隐式授权流程)或服务器 - 服务器调用(在资源所有者凭证授予的情况下) .
对于重定向和服务器 - 服务器交互,如何配置这样的设置,以及WSO2 AM和外部认证API之间的接口是什么?你能指点我这样设置的任何文件或样本吗?
谢谢,克里斯
3 回答
我对此的看法是,最终用户直接使用应用程序,而不是API . 应用开发者构建使用API的应用 . 因此,这符合WSO2 API Manager的理念,它适用于应用程序开发人员 .
就API管理器而言,API发布者的用户身份验证API只是另一个API . 您可以通过API管理器公开此API,并让用户(或我认为的应用程序)使用指定的参数调用API并获得响应(在您的情况下,用户凭据作为参数,并基于这些凭据的身份验证进行响应) . 底层API的作用与API Manager无关,它只是简化了API调用的管理 .
通常,应用程序会向API发出经过身份验证的特定于用户的请求,以便使用应用程OAuth2 resource owner password credentials grant是应用用于获取特定于用户的OAuth令牌的少数OAuth授权选项之一,它需要对用户身份验证API进行身份验证 . 作为参考,这里是apigee's documentation如何做到这一点 .
wso2 APIM有四个榜样 - > admin,creator,publisher和subscriber . 所以具有创建者和发布者角色的人可以在发布者应用程序中创建和发布api(他们是开发人员) . 并且具有订阅者角色的人可以在商店中订阅api并生成誓言令牌(他们是最终用户) . 因此,只要用户从商店中单打,就会被分配给订阅者角色 . 那些只有订阅角色的人才是那个api的最终用户 .
因此,当最终用户使用从商店获取的令牌访问api时,他将通过APIM进行身份验证 .
1.95217_