我们希望用wso2替换现有的API管理器,而另一个平台的一个功能是我们可以在运行时识别API的“用户”并进行限制工作。
“用户”未识别OAuth,而是通过API进行身份验证,并返回会话ID(因此他们从未在“商店”注册)。然后,此会话ID用于在API Manager中设置限制。此外,另一个工具具有代码,用于查找用户登录并在限制中使用该ID。因此,如果用户尝试每小时登录太多次,除了每小时对登录用户的请求太多之外,API管理器还会阻止该请求。登录尝试,API调用等的组合被加到节流中。 (所有这些都是几年前由他们的服务团队实施的)
我们需要这个的主要原因是我们不想强迫我们的旧客户立即访问OAuth,但希望更多的可见性,报告和限制。
关于如何使用wso2做到这一点的想法?我看到我们可以在API中添加自己的处理程序以找出会话ID,登录ID等,但我没有看到在哪里创建逻辑来进行限制。
谢谢,
克里斯
答案 0 :(得分:0)
登录Carbon并编辑tiers.xml(/_system/governance/apimgt/applicationdata/tiers.xml)。您可以找到<throttle:ID throttle:type="ROLE">Unauthenticated</throttle:ID>