我已经安装了WS02 API管理器并使用oauth2保护了我的后端REST服务 .
这是我的设置
IP1:WSO2 API管理器使用默认的inbuild密钥管理器 . 我在这里发布了我的API .
IP2:资源服务器在这里运行 .
我有一个简单的客户端应用程序,它与密钥管理器通信以获取Access令牌并在API管理器中创建对已发布API的成功调用 . 这里API管理器在将请求发送到我的资源服务器之前验证令牌 .
我正在寻找以下配置 . 这可能吗
-
应用程序仅与API管理器通信以生成令牌
-
应用程序将使用令牌向资源服务器发出直接请求
-
资源服务器需要使用Auth服务器验证令牌 .
我确实在WSo2 Identify服务器中看到了解释,他们建议使用基于SOAP的机制来验证令牌 . 但是我无法了解我们如何实现这一目标 .
有人可以澄清,需要在资源服务器和API管理器上进行哪些更改才能获得上述流程 . 因为我只使用API管理器来生成令牌,所以只使用Identity Server更有意义吗?
1 回答
让我先解释一下API Manager的用法 .
API Manager用于为API提供一层附加功能,例如授权,限制和其他QoS内容 .
因此,基本思想是您在WSO2 API Manager中发布API,它负责API的授权部分 . 因此,当客户端尝试通过API Manager访问您的API时,API Manager会确保只允许授权客户端访问API .
因此,根据您的要求,您似乎希望在资源服务器上执行授权 . 在这种情况下,仅使用API Manager进行令牌生成是没有意义的 .
相反,您应该使用WSO2 Identity Server . 您的API客户端可以调用Identity Server的令牌 endpoints 来生成令牌并将其发送到API请求中 . 您可以使用WSO2 Identity Server here找到有关OAuth2的更多详细信息 .
然后在资源上,您可以验证访问令牌 . 使用IS 5.3.0,有两种方法可以验证令牌 . OAuth2 Introspection Endpoint和SOAP服务 . 您可以找到更多详细信息here .