我正在将WSO2 API Manager和Keycloak用作身份服务器。作为登录过程的一部分,我实现了Auth代码流,该流返回ID令牌并将其作为安全cookie存储在浏览器中。我有一个客户端应用程序(javascript),需要使用JWT令牌调用后端API,并且这些后端API将由WSO2 API管理器保护。我观察到在调用后端API时,JWT令牌作为会话cookie传递给API Manager,但是API Manager在调用API时需要在Authorization标头中传递此令牌。我正在寻找的建议是如何映射可用的ID令牌以Cookie形式的授权标头。使用jwt过滤器的Ambassador API Gateway可以做到这一点,但是我无法使用WSo2 API Manager来实现。