我正在评估WS02 Api管理器和身份服务器。 我的要求如下: 1)我们必须开发一个Web门户,其中所有API都将在wso2 api管理器中公开,其中多个最终用户类型将登录到门户,例如A,B,C,d,并且所有用户都需要具有不同的API访问权限 2)与门户网站/应用程序相关的所有后端API将通过wso2 API管理器/网关公开。 3)最终用户身份验证,授权和RBAC必须由WSO2层执行,这意味着应授权管理员查看仅与管理员相关的内容,普通用户将具有受限访问权限。 4)我知道我可以在wso2 API存储中创建一个应用程序,以获取令牌并以安全方式调用所有后端api并获得对应用程序的访问权限,但是基于登录用户的身份验证和授权将如何发生。
我从docs中读取的解决方案是。 1)我可以将wso2身份服务器用作密钥管理器,以便将用户数据保留在自定义数据库中,例如mssql。
但是不确定如何限制用户仅在门户网站中使用某些内容。请帮助我。
http://movingaheadblog.blogspot.com/2014/02/securing-your-web-service-with-oauth2.html
@gusto您能帮我这个忙吗? 谢谢
答案 0 :(得分:0)
您可以使用https://docs.wso2.com/display/AM260/Enabling+Role-Based+Access+Control+Using+XACML将基于XACML的策略用于应用程序的访问控制。
在APIM端调用特定的API时,APIM将要求IS根据请求的参数(用户名,应用程序名称,API名称)评估XACML策略,并返回是否被允许。
您可以在https://docs.wso2.com/display/IS570/Creating+a+XACML+Policy
中找到有关编写XAML策略的更多信息。