Наше лицензированное корпоративное приложение поставляется с готовым API REST.Варианты аутентификации: Basic или OAuth2.Все запросы API сначала должны проходить через API-шлюз ( WSO2 API Manager ), который используется для генерации токенов на предъявителя с JWT утверждениями.Это означает, что я не могу использовать собственную схему аутентификации OAuth2 нашего приложения.Одно из решений, которое я пробовал, заключается в настройке Basic Auth между API-шлюзом и нашим внутренним приложением, но это не дает достаточно информации о том, кто является инициатором API, так как это имя пользователя и пароль должны быть установлены администраторомБэкэнд-приложение (оно не может быть сделано динамическим).Таким образом, все запросы API будут идентифицироваться как «Администратор».
Одна из идей, которую мы исследовали, состоит в том, чтобы использовать наш сервер приложений (Apache Tomcat 8.5) для декодирования утверждения JWT, получения фактического вызывающего и измененияОсновной Auth заголовок для аутентификации с этим пользователем.Возможно ли это, или у вас есть другие предложения?Я рассмотрел этот проект как потенциальное решение.