使用API管理器和ESB保护裸web服务

Question

全。在使用WSO2产品时，我有一个场景。我不知道这是不是一个好的方法，所以把它贴在这里。我可能在AS中部署了一个web服务，它是无安全性的，然后将此服务发布到API管理器。问题是，只要有人登录，他就可以调用API。因此，可以首先将web服务部署到ESB，并使用安全策略保护服务，然后发布到API管理器(启用JWT )。因此，当api被调用时，JWT将告诉ESB是谁在调用该服务，并且根据策略，ESB将决定最终用户是否有权访问该服务。

如果可能的话，有没有人可以提供一个样本来学习呢？

Answer 1

你可能会发现这篇文章很有用。

http://ssagara.blogspot.com/2013/07/wso2-esb-set-ws-security-ut-user-names.html

它解释了一个场景，其中每个用户都有不同的密码来访问受保护的后端服务，并且使用密码回调处理程序查找用户的密码。JWT令牌用于查找哪个用户正在调用API。