Должны ли менеджеры Api иметь дело с бэкэнд-аутентификацией вместо подписчика?

Question

В настоящее время мы используем WSO2 Api Manager для работы с некоторыми бэкэндами.Дело в том, что потребитель должен:

1. Сначала пройти проверку подлинности в API Manager (Oauth)
2. Затем выполнить проверку подлинности в API-интерфейсе бэкэнда (независимо от того, какая защита установлена, как опции, предоставляемые API Manager).справиться с этим довольно плохо)
3. Сделайте вызов

Я нахожу это тяжелым:

• Многие звонки только для одного реального звонка.
• Не пользуйтесь преимуществом «слабой связи», которое должны предоставить менеджеры API

Как вы думаете, мы поступаем правильно?Разве Api Managers не должен заниматься бэкэнд-аутентификацией?

Заранее спасибо за помощь!

Answer 1

Это зависит от того, как вы хотите это сделать.Не обязательно иметь защиту Oauth2 и бэкэнд-аутентификацию.Это можно сделать следующими способами:

1. Если вы хотите разрешить только внутреннюю аутентификацию

Тогда вы можете установить тип аутентификации Нет.Тогда Oauth2 не будет применяться.- https://wso2.com/blogs/cloud/oauth-and-authentication-type-application-vs-application-user/

Вы можете разрешить Oauth2 только

Если ваш бэкэнд небезопасен и нуждается в способе разоблачения, это лучший вариант.

Если вам нужны обе аутентификации

В некоторых случаях ваш бэкэнд может использоваться некоторыми другими сторонами, и нет никакой возможности удалить бэкэнд-аутентификацию.Кроме того, вам нужна защита Oauth2 для API и защита на уровне шлюза API.Тогда это вариант.

Надеюсь, это понятно.WSO2 обладает этими возможностями, и вы можете выбрать любой вариант.