如何为不受保护的端点配置RedHat APIMan授权策略？

Question

我们已经为我们的工作应用程序接口安装并配置了RedHat APIMan，计划是从当前自主开发的微型网关迁移到APIMan。问题是我们有一些不受保护的端点，它们不需要登录(不是每个人的角色！根本不需要登录)。我们对角色使用Keycloak插件，对OAuth安全性使用授权策略。当没有添加授权策略时，我可以通过Keycloak OAuth策略中的布尔值来允许未经身份验证的请求，但添加了授权策略后，就没有办法让未经身份验证的请求通过！

​

​

​

​

​

​

​

​

Answer 1

卡米亚。Apiman开发人员在这里。

请在https://github.com/apiman/apiman/issues上提交此功能请求。

我认为您尝试做的事情目前可能并不容易，因为身份验证策略期望在命中(获取角色等)之前进行某种成功的身份验证。

我们可能需要稍微详细地解释一下你的用例，然后我们才能确定我们是否可以支持它。如果我理解正确的话，它看起来是可以做到的，而不需要做大的改动。

如果我们添加了对您的需求的支持，我将努力更新此工单。