使用 WSO2 API 管理器进行身份验证

Question

我们有一个三层的系统，包括 API 服务器（后端）、客户端网站和最终用户。现在，身份验证发生在 API Server 上，分两种情况完成。在一种情况下，客户端网站直接使用令牌（客户端令牌）调用 API，该令牌（客户端令牌）从基于用户/密码的服务中获取，在另一种情况下，除了最终用户使用客户端网站登录 API 服务器外，但在 API 服务器上进行了身份验证客户网站除外。客户端站点获取另一个名为 Auth Token（用于最终用户调用）的令牌，然后通过发送两个提到的令牌来调用最终用户请求的 API。通过使用 Client 和 Auth Tokens，API Server 检查客户端和最终用户是否分别登录。实体及其关系如图in here

我想使用 API Manager 作为 API 服务器和客户端站点之间的网关，并使用它管理身份验证过程。 如何使用 WSO2 API Manger 实现此场景？ 感谢您的回复！

Answer 1

APIM 支持相同的功能。您可以简单地从后端摆脱身份验证登录（或替换为简单的登录）并使用 APIM 身份验证。

APIM 使用 OAuth2。为了满足您的要求，您可以使用不同的授权类型。对于客户端网站，您可以使用客户端凭据授权类型，对于最终用户，您可以使用其他授权类型，例如密码或授权码。

更多详情请阅读：

https://docs.wso2.com/display/AM210/Quick+Start+Guide https://docs.wso2.com/display/AM210/Token+API

Answer 2

扩展上一个答案..

如果后端在 API 管理器后面（建议），API 管理器可以将客户端/用户/应用程序信息作为 JWT 令牌传递给后端。所以确实，这是使用 API Manager 的一个很好的用例

编辑：基于 cmets 扩展答案

在一种情况下，当用户登录到客户端网站时，它会通过用户 & 传递给 API 服务器。因此，API server 会检查 U&P 的有效性

确实，使用默认的 OAuth（代码或密码配置文件）会起作用。

并创建一个身份验证令牌并为用户创建一个会话。

差不多好了。返回一个令牌，API Manager 中没有用户会话。所有授权都基于提供的令牌。

会话，即无论是客户端网站还是最终用户 是否登录。两个令牌执行的检查过程

不。 APIM 不检查任何会话。它仅检查 OAuth (Bearer) 令牌。

而在另一种情况下，客户端网站直接调用API，无需任何 来自最终用户的请求。在这种情况下，身份验证令牌不存在

网站（我们称之为应用程序）可以使用自己的凭据（所谓的 client_credentials 配置文件）进行身份验证。它可能会收到自己的 OAuth 应用程序令牌。