WSO2 API 管理器 Oauth 令牌验证

Question

我已安装 WS02 API 管理器并使用 oauth2 保护我的后端 REST 服务。

这是我的设置

IP1：WSO2 API 管理器使用默认的内置密钥管理器。我已经在这里发布了我的 API。

IP2：资源服务器正在这里运行。

我有一个简单的客户端应用程序，它与密钥管理器对话以获取访问令牌并成功调用 API 管理器中已发布的 API。这里 API 管理器在将请求发送到我的资源服务器之前验证令牌。

我正在寻找以下配置。这可能吗

1. 应用程序只会与 API 管理器对话以生成令牌
2. 应用程序将使用令牌向资源服务器发出直接请求
3. 资源服务器需要通过 Auth 服务器验证令牌。

我确实在 WSo2 识别服务器中看到了解释，他们建议使用基于 SOAP 的机制来验证令牌。但是我不知道如何实现这一点。

有人可以澄清一下，需要对资源服务器和 API 管理器进行哪些更改才能获得上述流程。因为我只使用 API 管理器生成令牌，所以只去身份服务器更有意义？

Answer 1

让我先解释一下API Manager的使用。

API 管理器用于为您的 API 提供一层附加功能，例如授权、限制和其他 QoS 内容。

所以基本的想法是你在 WSO2 API Manager 中发布你的 API，它负责你的 API 的授权部分。因此，当客户端尝试通过 API Manager 访问您的 API 时，API Manager 会确保只允许授权的客户端访问 API。

所以根据您的要求，您似乎想在资源服务器上进行授权。在这种情况下，仅将 API Manager 用于生成令牌是没有意义的。

相反，您应该使用 WSO2 身份服务器。您的 API 客户端可以调用 Identity Server 的令牌端点来生成令牌并在 API 请求中发送。您可以使用 WSO2 身份服务器 here 找到有关 OAuth2 的更多详细信息。

然后，您可以在资源处验证访问令牌。对于 IS 5.3.0，有两种方法可以验证令牌。 OAuth2 Introspection Endpoint 和 SOAP 服务。您可以找到更多详细信息here。