我正在尝试通过 API 管理在 Bluemix 中为一组微服务强制执行 OAuth 2。我是否正确假设 API 管理服务将始终充当 OAuth 2 授权提供者,而不是仅检查访问令牌的有效性作为执行网关?后者将是我真正想要的。
理想情况下,我想指定我自己的 OAuth 提供者实现,以及发布、验证和撤销访问令牌的方法。然后让 API 管理服务作为我的服务的代理,确保传入的请求带有有效的令牌。
阅读文档我很难理解 API 管理是如何设计的。有人可以指出我正在寻找的方向,或者帮助我了解 API 管理在安全方案中列出的 OAuth 流中的作用是什么?
谢谢。