Azure APIM与Duende (Identity Server)集成作为API操作的入站策略

Question

我进行了广泛的搜索，但没有发现对上述主题的支持："Azure APIM与Duende (Identity Server)集成作为API操作的入站策略“

以下是我们正在努力实现的目标。

目前，我们正在使用postman作为模拟UI客户端成功地从Duende获取一个带有客户端id和客户端秘密microservices

• We的令牌，并将该令牌添加到APIM到Duende以获得对指定后端resources

• Based的授权，希望添加一个策略入站片段，作为在Duende响应时授权后端resources

• Based的一种方式，我们可以在策略代码

中重定向。

是否有人在Identity Server 4或Duende中对此进行了编码？

我们对入站操作使用以下策略尝试了一个简单的GET to Duende。因为令牌现在包含了client_id，所以我们假设不需要再次发送它来授权？

 <set-variable name="token" value="eyJhbGciOiJS......." />
    <!-- Send request to Token Server to validate token (see RFC 7662) -->
    <send-request mode="new" response-variable-name="tokenstate" timeout="20" ignore-error="false">
        <set-url>http://myidentityserver/connect/authorize</set-url>
        <set-method>GET</set-method>
        <set-header name="Authorization" exists-action="override">
            <value>@($"Bearer {(string)context.Variables["token"]}")</value>
        </set-header>
        <set-header name="Content-Type" exists-action="override">
            <value>application/x-www-form-urlencoded</value>
        </set-header>
    </send-request>

Answer 1

通常，我们要做的就是从身份服务器获取令牌，并使用JWT策略在APIM中验证它--在本例中，您是从APIM调用标识服务器(Duende)，但没有授权它。为了预先授权请求，我们可以通过验证每个传入请求的访问令牌来使用策略。如果请求没有有效的令牌，API管理阻塞它--请参考：https://learn.microsoft.com/en-us/azure/api-management/api-management-access-restriction-policies#ValidateJWT