我打开此线程是因为我需要有关Web应用程序的身份验证和授权过程的理论和实践支持(我必须说我很无知)。
我开发了一个简单的Web应用程序,使用Angular6作为前端,使用Java创建与前端交互的REST服务。详细地说,前端是通过Apache2 Web服务器公开的,而webapp是部署在Tomcat8中的(与反向代理一起公开)。话虽如此,我想插入架构:基于令牌的身份验证和授权过程用于管理其余API和相关令牌的API管理器系统
在Google上搜索,我知道OpenID是正确的协议,我应该设置的基本体系结构是这里描述的协议(https://cloud.google.com/blog/products/api-management/identity-propagation-in-an-api-gateway-architecture。]
研究所有可用的开源技术后,我确定WSO2同时提供API管理器和身份服务器。我希望得到社区的支持,以了解什么是正确的架构和通信模式,以及是否有使用Apache2 + WSO2产品+ Tomcat的指南。预先感谢大家。
总体上讲,有3个运动部件:“ Web UI重定向并获得令牌* API接收令牌并对其进行验证*授权服务器管理登录名和令牌的发行
我的教程+代码示例可以帮助您了解它是否对您有用:https://authguidance.com/2017/09/24/basicspa-overview/
您可能有兴趣将Web应用程序和/或API放置在插入Apache反向代理mod_auth_openidc的OpenID Connect依赖方(或OAuth 2.0资源服务器)模块的后面,该模块可以使用WSO2服务器发出的令牌。