我已将 wso2 api manager 设置为 1.6,并且我在调用它的后端有一个 rest api。
我知道 wso2 提供 Oauth 2.0 支持。但我无法找出范围是如何处理的。
这是我的特定场景:我有一个要为其分配范围视图照片的客户端应用程序。以及另一个具有删除照片范围的客户端应用程序。
现在在 Api 管理器中,我想将对删除 api 的访问限制为仅对具有删除照片范围的客户端应用程序的访问。
这在 wso2 中如何处理?
一种方法是显式获取有关应用程序中范围的信息并执行手动验证(或通过某些框架,如 Java 世界中的 Spring Security)。
可以通过向 Identity Server(或 Api Manager 服务器,如果您没有单独的 IS)上的验证 Web 服务发送请求来找到 oauth 令牌的范围信息。
验证服务端点是:services/OAuth2TokenValidationService/
此 SOAP 服务的 WSDL 文件可以在他们的存储库中找到
编辑:自 Api Manager 1.7 起,您可以在管理器本身中定义此安全设置。查看这篇博文了解详情: http: //nuwanzone.blogspot.ru/2014/06/oauth-20-scopes-with-wso2-api-manager.html