Nous avons un système à trois couches comprenant le serveur API (Backend), le site Web client et l'utilisateur final. Maintenant, l'authentification se produit sur API Server, ce qui se fait dans deux cas. Dans un cas, Client Web Site appelle directement l'API en utilisant un token (Client Token) qui provient d'un service basé sur user/pass et dans un autre cas, en plus de l'utilisateur final se connecte au serveur API en utilisant Client Web Site. autre que le site Web client. Le site client reçoit un autre jeton nommé Auth Token (pour l'utilisateur final), puis appelle l'API que l'utilisateur final a demandé en envoyant deux jetons mentionnés. En utilisant des jetons Client et Auth, API Server vérifie si le client et l'utilisateur final sont connectés respectivement. Les entités et leurs relations sont illustrées in hereAuthentification avec WSO2 API Manager
Je souhaite utiliser API Manager comme passerelle entre le serveur API et le site client et gérer le processus d'authentification avec celui-ci. Comment puis-je implémenter ce scénario en utilisant WSO2 API Manger? merci pour votre réponse!
Il est légèrement difficile de lire le message (certains éléments de formatage et de verbiage pourraient aider car certaines parties ne sont pas vraiment claires). Que voulez-vous dire par «l'authentification s'est produite sur API Server autre que le site Web client»? 'En utilisant Client et Auth Tokens ', un seul jeton est utilisé, cependant le jeton demandé (en utilisant le profil OAuth de code ou de mot de passe) est lié à l'application et à l'utilisateur (les deux doivent être valides). – gusto2
le site Web du client est une application tierce placée entre notre serveur API et l'utilisateur final et qui n'a pas implémenté le processus d'authentification lui-même (vérification de l'utilisateur et de la réussite des utilisateurs finaux). Dans un scénario, lorsqu'un utilisateur se connecte au site Web du client, il passe l'utilisateur et le transmet au serveur API. par conséquent, le serveur API vérifie la validité de U & P et crée un jeton d'authentification et crée une session pour l'utilisateur. après ce délai, à chaque requête de l'utilisateur final, le serveur API vérifie la carte de session, que le site Web client et l'utilisateur final soient ou non connectés. le processus de vérification effectué par deux jetons. – DavidbIR
et dans un autre scénario, appelez l'API du site Web directement sans aucune demande de l'utilisateur final. Dans ce scénario, le jeton d'authentification n'existe pas! – DavidbIR