WSO2 API 经理缺少授权 header
WSO2 API Manager missing authorization header
我有一个 REST API,它使用 Basic Auth 进行身份验证。我将这个 API 添加到 WSO2 API 管理器并获得了那个 API 的生产 url。基本上我需要 API 经理来查看 API 使用情况的统计信息。我不需要 API 经理担心 API 的身份验证。所以简单地说,我将我的请求发送给 API 经理,授权 header。但是当 API 经理打电话给我 API 时,我看不到我在请求中发送的授权 header。这可能是什么原因?
您可以通过以下行 un-commenting 发送授权 header 并将其设置为 false。默认情况下,它设置为 true。
<RemoveOAuthHeadersFromOutMessage>false</RemoveOAuthHeadersFromOutMessage>
补充一下,我的场景是这个的更复杂的变体。我需要通过 WSO2 API Manager 来保护一些服务,但是一些 APIs 需要在基本身份验证之后在后端服务中进行身份验证。因此,解决方案是如上所述设置为 false,然后关闭需要在后端进行身份验证的 WSO2 API 的安全检查。检查这个 - “WSO2 API Manager, is it possible to disable the access-token mechanism”。然而,这打开了 WSO2 API 的漏洞,除非应用 WSO2 级别的限制,否则对 DoS 攻击没有任何安全措施。我希望即使我没有在 WSO2 级别进行身份验证,限制也会起作用。我需要对此进行测试并报告结果。
我有一个 REST API,它使用 Basic Auth 进行身份验证。我将这个 API 添加到 WSO2 API 管理器并获得了那个 API 的生产 url。基本上我需要 API 经理来查看 API 使用情况的统计信息。我不需要 API 经理担心 API 的身份验证。所以简单地说,我将我的请求发送给 API 经理,授权 header。但是当 API 经理打电话给我 API 时,我看不到我在请求中发送的授权 header。这可能是什么原因?
您可以通过以下行 un-commenting 发送授权 header 并将其设置为 false。默认情况下,它设置为 true。
<RemoveOAuthHeadersFromOutMessage>false</RemoveOAuthHeadersFromOutMessage>
补充一下,我的场景是这个的更复杂的变体。我需要通过 WSO2 API Manager 来保护一些服务,但是一些 APIs 需要在基本身份验证之后在后端服务中进行身份验证。因此,解决方案是如上所述设置为 false,然后关闭需要在后端进行身份验证的 WSO2 API 的安全检查。检查这个 - “WSO2 API Manager, is it possible to disable the access-token mechanism”。然而,这打开了 WSO2 API 的漏洞,除非应用 WSO2 级别的限制,否则对 DoS 攻击没有任何安全措施。我希望即使我没有在 WSO2 级别进行身份验证,限制也会起作用。我需要对此进行测试并报告结果。