使用WSO2 IS保护RESTful API

Question

我正在开发一些RESTful API，并且它们被其他Web应用程序使用。

1. 在这种情况下使用的最安全的协议（SAML2或oAuth2）是什么？
2. 使用WSO2保护RESTful Web服务的最佳方法是什么？     Identity Server？

Answer 1

首先区分OAuth和SAML，不是什么更安全，而是最适合您的场景。如果您需要SSO（单点登录），联盟和身份管理，则主要使用SAML。 OAuth是授权资源标准[1]。

您只需使用具有OAuth开箱即用的WSO2 APIM即可简单地保护REST API。您可以轻松地按照APIM快速入门指南进行设置[2]。如果需要实现SSO和联合等更多要求，则需要集成WSO2 IS [3]

[1] https://dzone.com/articles/saml-versus-oauth-which-one

[2] https://docs.wso2.com/display/AM1100/Quick+Start+Guide

[3] https://docs.wso2.com/display/CLUSTER44x/Configuring+the+Identity+Server+5.1.0+as+a+Key+Manager+with+API+Manager+1.10.0