我有一个使用 Basic Auth 进行身份验证的 REST API。我将此 API 添加到 WSO2 API 管理器并获得了该 API 的生产 URL。基本上我需要 API manager 来查看 API 使用的统计信息。我不需要 API 管理员担心 API 的身份验证。所以我很简单地将我的请求发送到带有授权标头的 API 管理器。但是当 API 管理器调用我的 API 时,我看不到我在请求中发送的授权标头。这可能是什么原因?
【问题讨论】:
标签: wso2 basic-authentication wso2-am
您可以通过取消注释以下行并将其设置为 false 来发送授权标头。默认情况下,它设置为 true。
<RemoveOAuthHeadersFromOutMessage>false</RemoveOAuthHeadersFromOutMessage>
【讨论】:
在这里补充一下,我的场景是一个更复杂的变体。我需要通过 WSO2 API Manager 来保护一些服务,但一些 API 需要在基本身份验证之后在后端服务进行身份验证。因此,解决方案是您如上所述设置为 false,然后关闭您需要在后端进行身份验证的 WSO2 API 的安全检查。检查这个 - “WSO2 API Manager, is it possible to disable the access-token mechanism”。然而,这会打开 WSO2 API 的漏洞,对 DoS 攻击没有任何安全性,除非应用了 WSO2 级别的限制。我希望即使我没有在 WSO2 级别进行身份验证,节流也会起作用。我需要对此进行测试并报告结果。
【讨论】: