我们目前使用 WSO2 Api Manager 来访问一些后端。问题是,消费者必须:
- 首先向 API Manager 进行身份验证(Oauth)
- 然后对后端 api 进行身份验证(无论安全性如何,因为 API Manager 提供的自行处理选项非常差)
- 拨打电话
我觉得很重:
- 许多电话只是为了打一个真正的电话。
- 放松 API 管理器应提供的“松耦合”优势
你认为我们做得对吗?Api Managers 不应该处理后端身份验证吗?
在此先感谢您的帮助 !
问问题
114 次
1 回答
1
这取决于您要如何执行此操作。具有 Oauth2 保护和后端身份验证不是强制性的。这可以通过以下方式完成。
- 如果您只想允许后端身份验证
然后您可以将身份验证类型设置为无。那么 Oauth2 将不适用。- https://wso2.com/blogs/cloud/oauth-and-authentication-type-application-vs-application-user/
- 您只能允许 Oauth2
如果您的后端不安全并且需要一种公开方式,那么这是最好的选择。
- 如果您需要两种身份验证
在某些情况下,您的后端被其他方使用,并且没有删除后端身份验证的选项。此外,您需要对 API 进行 Oauth2 保护,并使其在 API 网关级别安全。那么这是选项。
希望这很清楚。WSO2 具有这些功能,您可以选择任何选项。
于 2018-06-08T14:05:28.357 回答