假设我想将OAuth2 bearer中的“默认”WSO2身份验证机制替换为其他内容。我们想到的两个用例:
我猜这可以通过编写自定义身份验证处理程序来实现,该处理程序将在“通常”身份验证处理程序之前接管,并将负责执行自定义身份验证以及创建具有正确承载的授权标头令牌,传递到标准身份验证处理程序。
这是实现这个的正确方法吗?有没有其他方法不需要开发自定义处理程序?
我看到了以下讨论WSO2 API Manager, is it possible to disable the access-token mechanism,但我不确定它是否与我描述的用例相关。
答案 0 :(得分:0)
是。您必须实现自定义身份验证处理程序以使用api管理器进行基本身份验证。
但是您可以在不实现任何处理程序的情况下提供匿名访问。为此,您可以在创建api时将身份验证类型设置为“无”。您可以通过转到api中的“管理”选项卡进行设置,并从“应用程序”和“应用程序”中设置类型。所有资源的应用用户'到'无'