您无法通过API Publisher中创建的API调用使用OAuth保护的后端服务 . 目前,您只能拨打使用用户名/密码保护的服务 .
从API发布器开箱即用,您可以使用基本身份验证(用户名和密码)直接使用后端进行身份验证
如果不使用API Publisher,您知道是否还有其他方法可以做到这一点?
好 - 发布者应用程序始终参与其中
我想调用使用OAuth保护的后端服务(我的 endpoints )(ACCES-Token)
如何使用后端进行身份验证有多种方法,并非所有方法都如此简单
基本身份验证(这是你不想要的)
JWT令牌 - API管理器能够将带有API调用的签名JWT令牌发送到后端,后端服务可以从JWT令牌中验证和提取客户端详细信息 .
使用入站中介配置,您可以操作请求有效内容和元数据
使用第3点,您应该能够发送自定义OAuth / Authorization标头 . 问题是 - 您的服务正在验证/授权哪个身份提供商?
问题在于,没有统一的配置,您的服务的客户端(调用后端的API管理器)将如何获取/缓存/刷新/撤销可与所有可能的身份提供者一起使用的令牌 .
从理论上讲,您可以使用入站中介(序列)实现与外部IdP的OAuth身份验证,但我强烈建议不要为了可维护性而将任何复杂的API调解(在那里,做到这一点,搞砸了)
也许最简单的选择是拥有一个永久的令牌,你可以pass in the HTTP headers,听起来很简单 .