我如何将多种安全机制应用于Swagger生成的REST服务？

Question

我使用Swagger为REST服务生成了JAX-RS存根，并希望设置安全性。

安全方面对我来说很新，我想尽可能使用标准。 （过去，对于其他J2EE应用程序，我使用Filter来处理将User对象放入Session的身份验证。据我所知，REST应该避免使用Sessions。 ）

有4种类型的用户将访问服务

• 客户和业务合作伙伴（通过oAuth或类似方式进行身份验证）
• 员工（通过NTLM和LDAP进行身份验证）
• 开发人员（模拟身份验证/某种授权）
• 集成测试（具有预定义用户和角色的JUnit）

是否可以定义一个可以处理所有这些用户的安全机制？

我如何使用Swagger安全指令？

我是否比这更复杂？

Answer 1

您可以像Tyk一样使用open source API gateway吗？这里是tyk docs中API Security上一些方便信息的链接。

这是一篇博客文章，描述了超越网关的a layered approach to API Security。

披露：我为Tyk工作！