Oauth 2.0 WSO2-OAuth访问令牌验证和多租户支持_Oauth 2.0_Wso2

Oauth 2.0 WSO2-OAuth访问令牌验证和多租户支持

oauth-2.0 wso2

Oauth 2.0 WSO2-OAuth访问令牌验证和多租户支持,oauth-2.0,wso2,Oauth 2.0,Wso2,我是WSO2的新手，有这些与安全性和多租户相关的问题安全性我喜欢使用客户端凭据授权来生成访问令牌，以访问API manager管理的资源。我看到API管理器验证访问令牌并将其传递给后端资源（我的应用程序代码）。我想保护从API管理器到后端的调用。除了使用SSL，我还可以如何做到这一点？我可以依赖相同的访问令牌来满足我的资源安全需求吗？如果是，我如何在应用程序代码中验证访问令牌？我看到一些链接提到使用WSO2 identity server进行验证，但我喜欢将我的WSO2足迹限制在最低限度，仅

我是WSO2的新手，有这些与安全性和多租户相关的问题

安全性 我喜欢使用客户端凭据授权来生成访问令牌，以访问API manager管理的资源。我看到API管理器验证访问令牌并将其传递给后端资源（我的应用程序代码）。我想保护从API管理器到后端的调用。除了使用SSL，我还可以如何做到这一点？我可以依赖相同的访问令牌来满足我的资源安全需求吗？如果是，我如何在应用程序代码中验证访问令牌？我看到一些链接提到使用WSO2 identity server进行验证，但我喜欢将我的WSO2足迹限制在最低限度，仅限于API manager

多租户 我的应用程序代码需要支持多租户，它需要租户ID来标识租户，以隔离可用功能和数据访问。在发布/订阅阶段的客户端ID和密钥生成期间，是否可以设置此租户ID？当API管理器将此客户机ID的调用转发到后端时，是否可以在HTTP头中自动插入/设置此租户ID

我可以很好地使用客户机ID本身作为租户ID，但是这个客户机ID是由WSO2管理的，我无法控制它的生成。此外，每个订阅/应用程序只有一个客户端ID。

安全性：您可以为API的端点（即后端服务）设置安全方案。APIM支持和用于端点

多租户：您可以发布适用于所有租户的API。步骤是

在设计页面中设置可见性=公共

在管理页面中设置所有租户可用的订阅然后，任何租户开发人员都可以使用特定于租户的应用程序订阅您的API。然后，您可以使用

客户端密钥

或

租户域

在后端识别租户。请参阅下面关于如何将这些值发送到后端的博客文章