WSO2 API管理器Outh令牌验证

WSO2 API管理器Outh令牌验证,wso2,wso2is,Wso2,Wso2is,我已经安装了WS02API管理器,并用oauth2保护了我的后端REST服务 这是我的设置 IP1:WSO2 API管理器使用默认的内置密钥管理器。我已经在这里发布了我的API IP2:资源服务器正在此处运行 我有一个简单的客户端应用程序,它与密钥管理器对话以获取访问令牌,并在API管理器中创建对已发布API的成功调用。在这里,API管理器在将请求发送到我的资源服务器之前验证令牌 我正在寻找以下配置。这可能吗 应用程序将仅在生成令牌时与API管理器通信 应用程序将使用令牌向资源服务器发出直接请求

我已经安装了WS02API管理器,并用oauth2保护了我的后端REST服务

这是我的设置

IP1:WSO2 API管理器使用默认的内置密钥管理器。我已经在这里发布了我的API

IP2:资源服务器正在此处运行

我有一个简单的客户端应用程序,它与密钥管理器对话以获取访问令牌,并在API管理器中创建对已发布API的成功调用。在这里,API管理器在将请求发送到我的资源服务器之前验证令牌

我正在寻找以下配置。这可能吗

  • 应用程序将仅在生成令牌时与API管理器通信
  • 应用程序将使用令牌向资源服务器发出直接请求
  • 资源服务器需要使用身份验证服务器验证令牌
  • 我确实在WSo2 Identify server中看到了解释,他们建议在其中使用基于SOAP的机制来验证令牌。然而,我不知道我们如何才能做到这一点


    请有人澄清一下,为了获得上述流程,需要对资源服务器和API管理器进行哪些更改。由于我仅将API管理器用于令牌生成,因此仅将其用于Identity server更有意义?

    让我先解释一下API管理器的使用

    API管理器用于为您的API提供一层附加功能,如授权、限制和其他QoS内容

    因此,基本思想是在WSO2 API管理器中发布API,它负责API的授权部分。因此,当客户端试图通过API管理器访问API时,API管理器会确保仅允许授权客户端访问API

    因此,从您的需求来看,您似乎希望在资源服务器上进行授权。在这种情况下,仅为了生成令牌而使用API管理器是没有意义的

    相反,您应该使用WSO2 Identity Server。您的API客户端可以调用Identity Server的令牌端点来生成令牌并在API请求中发送它。您可以通过WSO2 Identity Server找到有关OAuth2的更多详细信息


    然后在资源处,您可以验证访问令牌。对于IS 5.3.0,有两种方法验证令牌。OAuth2内省端点和SOAP服务。您可以找到更多详细信息。

    在资源服务器中,我应该对身份验证服务器进行SOAP调用吗?我试着在下面这样做curl--user admin:admin--header“Content Type:text/xml”-header“SOAPAction:validate”-k-d@soap.xml响应:?xml version='1.0'encoding='UTF-8'?>axis2ns7:50978感谢您的解释。我将研究如何从资源服务器验证oauth令牌。