Api 管理者是否应该处理后端身份验证而不是订阅者?

Should Api Managers deal with backend authentication in place of the subscriber?

我们目前使用 WSO2 Api 管理器来访问某些后端。 问题是,消费者必须:

  1. 首先向 API 管理器 (Oauth) 进行身份验证
  2. 然后向后端进行身份验证 api(无论采用何种安全措施,因为 API 管理器提供的用于处理它本身的选项都很差)
  3. 拨打电话

我觉得很重:

你觉得我们做的对吗? Api 经理不应该处理后端身份验证吗?

在此先感谢您的帮助!

这取决于您想如何执行此操作。 Oauth2 保护和后端身份验证不是强制性的。这可以通过以下方式完成。

  1. 如果您只想允许后端身份验证

然后您可以将身份验证类型设置为None。那么 Oauth2 将不适用。 - https://wso2.com/blogs/cloud/oauth-and-authentication-type-application-vs-application-user/

  1. 您只能允许 Oauth2

如果您的后端不安全并且需要一种公开方式,这是最佳选择。

  1. 如果您需要两种身份验证

在某些情况下,您的后端可能会被其他一些人使用,并且没有删除后端身份验证的选项。此外,您需要 API 的 Oauth2 保护并使其在 API 网关级别安全。那么就是这个选项了

希望这是清楚的。 WSO2 具有这些功能,您可以选择任何选项。