我有一个外部端点,它将访问 Azure API 网关,并将其路由到受 IdentityServer4 授权保护的后端 API。
如果我使用来自 IdentityServer 的交互式 UI 通过 Postman 客户端点击它,我将获得访问令牌。
有没有一种方法可以从 Azure API 管理获取所需的访问令牌,以针对 IdentityServer4 进行验证并将其附加到后端 API 请求中的标头?
【问题讨论】:
标签: api oauth-2.0 access-token identityserver4 azure-api-management
是的,可以通过自定义策略来实现。您可以要求您的外部 API-Client/Consumer 在 heaser 中输入凭证,然后在入站中编写一个策略,以读取这些用户凭证并执行 API 请求(类似于您的邮递员)并获取访问令牌。然后,您可以附加相同的令牌,让您的请求被转发到后端 API。
根据您的问题陈述,这应该有效。如果没有,您可能需要通过更多描述/步骤来解释您的场景。
以下是一些参考资料,希望对你有所帮助。
https://docs.microsoft.com/en-us/azure/api-management/api-management-advanced-policies#SendRequest
https://docs.microsoft.com/en-us/azure/api-management/api-management-sample-send-request
【讨论】:
Postman 可以让人类用户看到 UI 并授权 API 访问和 IdentityServer4 为 Postman 颁发令牌。 APIM 服务器处理调用时没有这种奢侈,因为您可以向 IdentityServer4 发送令牌请求,但会向谁提供 UI 以授权该操作?
唯一的方法是为 APIM 提供某种机密(标头、查询、证书),IdentityServer4 可以识别这些机密,以允许它为 APIM 颁发令牌。如果这样的 secred 可用,您可以使用 send-request 策略调用 IdentityServer4 并获取所需的令牌。
或者确保对 APIM 的每个请求都已经有一个令牌。
【讨论】: