[英]WSO2 API Manager and WSO2 key manager: user roles are not validated
我正在使用 WSO2 身份服务器和 WSO2 API 管理器来管理访问。 我想使用 oauth2 范围确保对 API 的基于角色的访问控制,并授权最终用户根据他们的角色访问我的 API。 为此,我必须在 api 管理器上公开我的 API,并在访问 API 之前为用户身份验证创建 SPA。 我有很多用户(开发者、发布者、客户、代理等)
为此,我首先使用以下指南配置 wso2am-3.2.0 和 wso2is-km-5.10.0。
为了为开发人员执行基于角色的 API 访问控制,我创建了 API 的范围并将范围分配给角色。 我能够为每个 scope 生成一个访问令牌,但未执行角色验证,我的所有用户无论其角色如何都可以访问我的 API,并且访问不受用户角色的限制。 当我使用 API 管理器的默认集成密钥管理器测试基于角色的 API 访问控制时( https://apim.docs.wso2.com/en/latest/learn/api-security/oauth2/oauth2-scopes/fine- grained-access-control-with-oauth-scopes/ ),它工作正常,但将 WSO2 身份服务器集成为密钥管理器会导致此行为。 当使用给定的 scope 访问 API 时,我是否错过了 WSO2 身份服务器或 API 管理器中用于角色验证的任何设置?
我可以获得每个 scope 的访问令牌,如下所示:
{
"access_token": "x",
"refresh_token": "x",
"scope": "view_item",
"token_type": "Bearer",
"expires_in": 3600
}
我正在使用 WSO2 身份服务器和 WSO2 API 管理器来管理访问。 我想确保使用 oauth2 范围对 API 进行基于角色的访问控制,并授权最终用户根据他们的角色访问我的 API。 为此,我必须在 api 管理器上公开我的 API,并在访问 API 之前为用户身份验证创建一个 SPA。 我有很多用户(开发人员、发布者、客户、代理等)
为此,我首先使用以下指南将 wso2am-3.2.0 配置为 wso2is-km-5.10.0。
为了对开发人员执行基于角色的 API 访问控制,我为 API 创建了范围并将范围分配给角色。 我能够为每个 scope 生成一个访问令牌,但是没有执行角色验证,并且我的所有用户无论他们的角色都可以访问我的 API,并且访问不受用户角色的限制。 当我使用 API 管理器的默认集成密钥管理器测试 API 的基于角色的访问控制时( https://apim.docs.wso2/ofine-2/olatest grained-access-control-with-oauth-scopes/ ),它工作正常,但将 WSO2 身份服务器集成为密钥管理器会导致此行为。 在使用给定的 Z31511FD140BEAEBEFA2 访问 API 时,我是否错过了 WSO2 身份服务器或 API 管理器中用于角色验证的任何设置?
我可以获得每个 scope 的访问令牌,如下所示:
{
"access_token": "x",
"refresh_token": "x",
"scope": "view_item",
"token_type": "Bearer",
"expires_in": 3600
}
我们可以使用下面的 API 来根据与用户角色关联的范围生成令牌。 https://localhost:9443/oauth2/token
使用 WSO2 Identity Server 和 WSO2 API Manager 保护后端
[英]Securing backend with WSO2 Identity Server and WSO2 API Manager
WSO2 API Manager 3.0 Session 未注销 Publisher
[英]WSO2 API Manager 3.0 Session Not Logging Out of Publisher
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.