我有一个是通过WSO2 API管理上暴露的API,它是由OAuth2用户保护,以便客户端必须通过apikey,token或credentials为了获得对资源的访问。到现在为止还挺好。但是现在,我也想保护后端的端点。后端仅接受来自API Manager(IP安全性)的调用,但它是开放的,我的意思是,如果有权访问APIM主机的人进行了调用,则它将接受,因为它们之间没有身份验证。
我想使用Identity Server保护后端,但是根据APIM文档,支持的端点安全性是BASIC或DIGEST。
在SpringBoot后端中实现BASIC /摘要身份验证并将WSO2 Identity Server用作用户注册表的最佳方法是什么?这样,我可以将每个安全细节集中到一个解决方案中。
提前致谢。
如果您使用基本身份验证或类似的身份验证,则后端可能必须对WSO2进行另一个API调用以验证该令牌。相反,您可以将自包含的JWT令牌从API管理器传递到后端。这样,后端就可以使用证书使用自己的API管理器来验证JWT是由它自己发出的,而无需依赖任何其他内容。
通过这种方式,您可以从JWT内容中验证调用是否由API Manager进行的,此外还可以验证最终用户。
Doc:https://apim.docs.wso2.com/zh-CN/latest/learn/api-gateway/passing-end-user-attributes-to-the-backend/passing-enduser-attributes-to-the-backend- using-jwt /?fbclid = IwAR1JT9DLOclmA-xw0Ev9C2Xrje5EDGrDBnmMkfDKMcbxTlCLf0swSPucMfA
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句