我有一个 REST API,它使用基本身份验证进行身份验证。我将此 API 添加到 WSO2 API 管理器并获取该 API 的生产 URL。基本上我需要 API 管理器来查看 API 使用情况的统计数据。我不需要 API 管理员担心 API 的身份验证。所以我简单地将我的请求发送给 API 管理器并带有授权标头。但是,当 API 管理器调用我的 API 时,我看不到我在请求中发送的授权标头。这可能是什么原因?
您可以通过取消注释以下行并将其设置为 false 来发送授权标头。默认情况下它设置为 true。
<RemoveOAuthHeadersFromOutMessage>false</RemoveOAuthHeadersFromOutMessage>
在这里补充一下,我的场景是这个的更复杂的变体。我需要通过 WSO2 API Manager 保护某些服务的安全,但某些 API 需要在基本身份验证之后在后端服务中进行身份验证。因此解决方案是您如上所述设置为 false,然后关闭需要在后端进行身份验证的 WSO2 API 的安全检查。检查此 - “WSO2 API 管理器,是否可以禁用访问令牌机制”。然而,这会暴露 WSO2 API 的漏洞,对 DoS 攻击没有任何安全性,除非应用 WSO2 级别的限制。我希望即使我没有在 WSO2 级别进行身份验证,限制也能发挥作用。我需要测试一下并报告结果。
我面临同样的问题,我正在使用基本身份验证,但对于我的 API,我想将此标头发送到后端,但是当我通过中介在 wso2 碳日志中记录授权标头时,它在日志中为空,即使它是在来自前端的请求中或使用邮递员,但此标头未显示在日志中。我已启用这些属性,但它不起作用,它正在为不记名令牌工作。