WSO2 API管理器Outh令牌验证

Question

我已经安装了WS02 API管理器，并使用oauth2保护了我的后端REST服务。

这是我的设置

IP1：使用默认的内置密钥管理器的WSO2 API管理器。 我已经在这里发布了我的API。

IP2：资源服务器正在此处运行。

我有一个简单的客户端应用程序，它与密钥管理器进行对话以获取访问令牌并在API管理器中创建对已发布API的成功调用。 在这里，API管理员在将请求发送到我的资源服务器之前会验证令牌。

我正在寻找以下配置。 这可能吗

1. 应用程序将仅与API管理器对话以生成令牌
2. 应用程序将使用令牌直接向资源服务器发出请求
3. 资源服务器需要使用Auth服务器验证令牌。

我确实在WSo2 Identify服务器中看到了解释，他们建议在其中使用基于SOAP的机制来验证令牌。 但是，我不知道如何实现这一目标。

有人可以澄清一下，要获得上述流程，需要在资源服务器和API管理器上进行哪些更改。 由于我仅将API管理器用于令牌生成，所以仅将身份管理器用于身份服务器更有意义吗？

Answer 1

首先让我解释一下API Manager的用法。

API Manager用于为您的API提供一层附加功能，例如授权，限制和其他QoS内容。

因此，基本思路是您在WSO2 API管理器中发布API，并负责API的授权部分。 因此，当客户端尝试通过API Manager访问您的API时，API Manager确保仅允许授权的客户端访问API。

因此，从您的要求看来，您似乎想在资源服务器上进行授权。 在这种情况下，仅出于生成令牌的目的而使用API​​ Manager是没有意义的。

相反，您应该使用WSO2身份服务器。 您的API客户端可以调用Identity Server的令牌端点来生成令牌并将其发送到API请求中。 您可以在此处找到有关带有WSO2 Identity Server的OAuth2的更多详细信息。

然后，您可以在该资源上验证访问令牌。 使用IS 5.3.0，有两种验证令牌的方法。 OAuth2自省端点和SOAP服务。 您可以在此处找到更多详细信息。