Api 管理者是否应该处理后端身份验证而不是订阅者?
Should Api Managers deal with backend authentication in place of the subscriber?
我们目前使用 WSO2 Api 管理器来访问某些后端。
问题是,消费者必须:
- 首先向 API 管理器 (Oauth) 进行身份验证
- 然后向后端进行身份验证 api(无论采用何种安全措施,因为 API 管理器提供的用于处理它本身的选项都很差)
- 拨打电话
我觉得很重:
- 很多电话只是为了打一个真正的电话。
- 放松"loose coupling"优势API管理者应提供
你觉得我们做的对吗? Api 经理不应该处理后端身份验证吗?
在此先感谢您的帮助!
这取决于您想如何执行此操作。 Oauth2 保护和后端身份验证不是强制性的。这可以通过以下方式完成。
- 如果您只想允许后端身份验证
然后您可以将身份验证类型设置为None。那么 Oauth2 将不适用。 - https://wso2.com/blogs/cloud/oauth-and-authentication-type-application-vs-application-user/
- 您只能允许 Oauth2
如果您的后端不安全并且需要一种公开方式,这是最佳选择。
- 如果您需要两种身份验证
在某些情况下,您的后端可能会被其他一些人使用,并且没有删除后端身份验证的选项。此外,您需要 API 的 Oauth2 保护并使其在 API 网关级别安全。那么就是这个选项了
希望这是清楚的。 WSO2 具有这些功能,您可以选择任何选项。
我们目前使用 WSO2 Api 管理器来访问某些后端。 问题是,消费者必须:
- 首先向 API 管理器 (Oauth) 进行身份验证
- 然后向后端进行身份验证 api(无论采用何种安全措施,因为 API 管理器提供的用于处理它本身的选项都很差)
- 拨打电话
我觉得很重:
- 很多电话只是为了打一个真正的电话。
- 放松"loose coupling"优势API管理者应提供
你觉得我们做的对吗? Api 经理不应该处理后端身份验证吗?
在此先感谢您的帮助!
这取决于您想如何执行此操作。 Oauth2 保护和后端身份验证不是强制性的。这可以通过以下方式完成。
- 如果您只想允许后端身份验证
然后您可以将身份验证类型设置为None。那么 Oauth2 将不适用。 - https://wso2.com/blogs/cloud/oauth-and-authentication-type-application-vs-application-user/
- 您只能允许 Oauth2
如果您的后端不安全并且需要一种公开方式,这是最佳选择。
- 如果您需要两种身份验证
在某些情况下,您的后端可能会被其他一些人使用,并且没有删除后端身份验证的选项。此外,您需要 API 的 Oauth2 保护并使其在 API 网关级别安全。那么就是这个选项了
希望这是清楚的。 WSO2 具有这些功能,您可以选择任何选项。