我正在尝试通过API管理在Bluemix中为一套微服务强制执行OAuth 2。我是否正确假设API管理服务将始终充当OAuth 2授权提供商,而不是只检查访问令牌作为强制网关的有效性?后者将是我真正想要的。
理想情况下,我想指定自己的OAuth提供程序实现,以及发布,验证和撤消访问令牌的方法。然后将API Management服务作为我的服务的代理,确保进入的请求带有有效令牌。
阅读文档我很难理解API管理是如何设计的。有人可以指出我正在寻找的方向,或者帮助我理解API管理在安全方案中列出的OAuth流程中的作用是什么?
感谢。