如何利用WSO2栈在API中实现基于角色的访问控制

Question

我们使用WSO2IS作为IAM服务器，角色和用户在WSO2IS中进行管理。WSO2EI将是集成服务器，公开私有APIs。

什么是实现基于角色的访问控制的正确方法，比如一些API只供特定组的用户访问。我如何实现这一最简单的方式？这里有WSO2AM的要求吗？

谢谢

Answer 1

EI不是公开私有oauth安全API的理想方法。即使您可以使用EI实现它，这将是过度的努力，当集成。

使用API管理器向您的人群公开API。将Identity server配置为APIM服务器的密钥管理器(令牌管理器)。APIM服务器知道如何与Identity server对话以生成和验证访问令牌。因此，不需要显式地将资源服务器(APIM)与授权服务器(IAM)集成。

1. 在两个服务器之间共享用户存储。(IS和APIM)
2. Configure是API服务器的关键管理器。
3. 在publisher/developer门户中注册API。
4. 发布时，可以从Publisher门户定义对API资源的基于角色的访问限制。(Roe :范围映射)
5. 一旦定义，IS将始终在为您提供访问令牌时检查您的角色。

因为您已经定义了一个角色:范围映射，您在令牌生成请求中请求的范围只有在您(请求者)具有预期角色时才会被接受。因此，令牌的范围将仅限于分配给自己的角色。现在，由于您发布的API资源需要一组定义的作用域，所以在尝试访问API时，并不是所有的访问令牌都会被接受。只有那些有预期作用域的。

使用APIM配置IS-KM

基于角色的范围