我正在尝试使用 WSO2 API Manager 为我的 API 提供安全性。我可以实现 WSO2 Identity Server 的配置,以便对一些用户使用 LDAP 服务器,并使 WSO2 API Manager 将此 Identity Server 用作密钥管理器。我的问题是:
【问题讨论】:
标签: oauth-2.0 wso2 access-token wso2-am wso2is
基本上,令牌生成流程因授权类型而异。例如,您用于生成访问令牌的 jwt-bearer 授权类型有几个步骤,例如,
这是因为每种授权类型的用途不同,使用授权类型取决于您的安全要求。
JWT Bearer 授权通常用于客户端应用程序,其中用户登录提供用户名和密码,其余部分在应用程序本身完成,无需与最终用户进行任何交互。
如果需要以最终用户身份生成令牌,可以使用密码授权类型。
【讨论】:
这些是我配置 WSO2 Identity Server 和 WSO2 Api Manager 的步骤:
我在 Identity Server 中创建了一个服务提供者并配置了一个 OAuth/OpenId 连接。这会生成 OAuth 客户端密钥和 OAuth 客户端密钥。
我在 API Manager 中创建了一个身份提供者,导入一个公共证书以验证来自身份提供者的响应,并使用 OAuth 客户端密钥作为别名,以便在验证 JWT 令牌时由 WSO2 API Manager 检查。
我在 WSO2 API Publisher 中创建了一个 API,将这个 API 关联到一个内部/订阅者角色,并将我的最终用户关联到这个角色。
我在 WSO2 API Store 中创建了一个应用程序来使用我的 Rest 服务并将我的 API 订阅到此应用程序。
我按照这篇文章执行了以下步骤: how-to-protect-your-apis-with-self-contained-acces
问题在于使用 Rest Service 的步骤。
在 WSO2 Identity Server 中请求生成 API Manager 的访问令牌: curl -u (OAUTH_CLIENT_KEY:OAUTH_CLIENT_SECRET) -k -d "grant_type=password&username=END_USER_USERNAME&password=END_USER_PASSWORD" -H "Content-Type:application/x-www-form-urlencoded" https://localhost:9443/oauth2/token
在 API Manager 中请求生成 API 的访问令牌。 curl -i -X POST -u (CONSUMER_KEY:CONSUMER_SECRET) -k -d 'grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer&assertion=IS_ACCESS_TOKEN' -H 'Content-Type: application/x-www -form-urlencoded' https://localhost:9444/oauth2/token
向 API Manager 请求从 API 获取资源: curl -v -H "授权:承载 AM_ACCESS_TOKEN" http://172.19.0.1:8281/jwt/1.0.0/REST_API
有什么简单的方法可以完成这些步骤吗?
【讨论】:
有关使用角色、范围和令牌保护 API 的更多信息,请参阅文档中的 API 安全部分。
This doc 包含有关如何根据您的要求使用 APIM 和 IS 的不同授权类型的信息。
【讨论】: