WSO2 IS和WSO2 APIM-角色更改
[英]WSO2 IS and WSO2 APIM - Role change
問題描述
我遵循以下WSO2文檔中提到的步驟,以將WSO2 IS用作帶有WSO2 APIM的身份服務器。
我使用WSO2 IS 5.3.0和WSO2 APIM 2.1.0。
https://docs.wso2.com/display/AM210/Configuring+WSO2+Identity+Server+as+a+Key+Manager
我可以在WSO2 IS和WSO2 APIM中訪問Carbon管理控制台(在兩個端口中)
https:// localhost:9443 / carbon / admin / login.jsp https:// localhost:9444 / carbon / admin / login.jsp
- 當我使用WSO2 IS控制台(9443)更改用戶角色時,大多數情況下,它都是使用相同的訪問令牌立即得到反映的。 怎么可能呢? WSO2提供了具有一些預配置范圍的訪問令牌。 在同一個登錄會話中,甚至在訪問令牌過期之前,如果我們更改了已登錄用戶的角色,則將立即應用角色更改,並且更改我的訪問權限? 有效嗎?
假設用戶“ USER1”獲得了具有特權的訪問令牌,並且他/她能夠訪問特權API。 突然,如果角色更改並且為用戶“ USER1”分配了普通用戶權限,並且該用戶無法在同一登錄會話中訪問特權API。 這是OAuth的工作方式嗎?
請幫助我理解。
- 如果我更改了WSO2 APIM(9444)中的角色,則不會立即反映這些角色。 有時,它等待訪問令牌過期並獲取新的訪問令牌。 有時,甚至在訪問令牌過期之前也會應用角色更改。
WSO2 IS和WSO2 APIM之間用於同步角色的同步間隔是多少?
我在mysql db或ldap中找不到這些角色。 它們存儲在后端的哪里?
1 個解決方案
解決方案1
0 2017-09-16 05:40:31
IS作為密鑰管理器和API Manager的內置密鑰管理器存在差異。 API Manager附帶的密鑰管理器不是完整的Identity解決方案。 因此,從身份管理方面來看,它在作用域映射,訪問控制等方面的作用受到一定限制。 充當密鑰管理者的身份服務器提供了完整的訪問控制機制,因此,即使對於問題密鑰,角色的更改也應盡快影響。 這是使用IS作為密鑰管理器的原因之一。
- 問題1
回答:假設用戶獲得訪問令牌后就擁有管理員權限。 企業可以確定用戶不再需要此權限,並更改其LDAP上的權限。 它應該盡快反映在密鑰驗證中。 否則,用戶將繼續以特權用戶身份訪問服務,直到密鑰過期為止,這是不希望的。 因此該行為是有效的。
- 問題2
回答:是的,API Manager在管理API方面很強。 但是,它不是使用/角色管理系統。 因此,在反映角色變化方面將有相當大的延遲。 因此,當API Manager配置為IS時,請確保使用IS來管理用戶/角色等。
- 您配置的角色在哪里
如果JDBC用戶存儲是您的主要UserStore,則應在WSO2UM_DB中配置(UM_ROLE表)。
更改 DefaultApplication WSO2 APIM 3.1.0 的令牌類型
[英]Change token type of DefaultApplication WSO2 APIM 3.1.0
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.