Wso2is WSO2 IS和WSO2 APIM-角色变更

我按照以下WSO2文档中提到的步骤使用WSO2 IS作为带有WSO2 APIM的身份服务器

我使用WSO2是5.3.0，WSO2 APIM是2.1.0

我能够访问WSO2 IS和WSO2 APIM中的carbon管理控制台（两个端口）

当我使用WSO2 IS控制台（9443）来更改用户角色时，大多数情况下，它会立即得到反映，使用相同的访问令牌。怎么可能呢？WSO2提供了一个带有一些预配置作用域的访问令牌。在同一登录会话中，即使在访问令牌过期之前，如果我们更改登录用户的角色，角色更改将立即应用，并且我的访问权限也将更改？它是有效的吗 假设用户“USER1”获得了具有特权的访问令牌，并且他/她能够访问特权API。突然，如果角色发生变化，并且用户“USER1”被分配了正常的用户权限，并且用户无法在同一登录会话中访问特权API。OAuth就是这样工作的吗

请帮我理解

如果我更改WSO2 APIM（9444）中的角色，则不会立即反映这些角色。有时，它会等待访问令牌到期，然后获取新的访问令牌。有时，角色更改甚至在访问令牌过期之前就已应用 为了同步角色，WSO2 is和WSO2 APIM之间的同步间隔是多少

---

我在mysql db或ldap中找不到这些角色。它们存储在后端的何处？

IS作为密钥管理器和API管理器的内置密钥管理器存在差异。API manager附带的密钥管理器不是一个成熟的身份解决方案。因此，从身份管理的角度来看，它在范围映射、访问控制等方面的作用有些有限。 作为密钥管理器的Identity server提供了完整的访问控制机制，因此角色的更改应该尽可能快地影响，即使是对于密钥问题。这是将is用作密钥管理器的原因之一

问题1

答复： 假设用户在获得访问令牌时拥有管理员权限。企业可能会决定用户不再需要此权限，并更改其LDAP上的权限。它应该尽快反映在关键验证上。否则，用户将继续以特权用户身份访问服务，直到密钥过期，这是不可取的。因此，该行为是有效的

问题2

答：是的，API管理器在管理API方面很强。但是，它不是一个使用/角色管理系统。因此，在反映角色变化方面将有相当大的延迟。因此，当API管理器配置IS时，请确保使用IS管理用户/角色等

• 您配置的角色在哪里

如果JDBC用户存储是您的主用户存储，那么它应该在WSO2UM_DB配置（UM_角色表）中