WSO2 APIM 安全 - 发布者访问的分离
WSO2 APIM security - separation of the publisher access
我对出版商的分离有疑问。
如果我们希望发布商只管理他们自己的 API,我们能否将它们限制为其他发布商发布的 see/update API?还是我们需要创建一个单独的租户?
理论上 - 可以限制 API 对特定角色的可见性,但有一种解决方法。如果发布者正在显示统计信息 - 统计信息显示 APIs 的记录,如果没有特定的限制角色,用户不应该看到这些记录。单击统计记录(例如订阅数),用户将获得编辑 API 的权限,这不应该被看到。所以 - 现在我们通过默默无闻获得安全性。
对于商店和网关 - 确实检查了角色。在这里,我正在考虑出版商
根据设计,单个租户中的所有 API 对该租户中的每个发布者都是可见的。 Role-based可见性仅适用于商店。
如果创建多个租户,则可以隔离 API 个。如果您想访问商店中的所有这些,您可以将 API 可见性设置为 "public"。
我对出版商的分离有疑问。
如果我们希望发布商只管理他们自己的 API,我们能否将它们限制为其他发布商发布的 see/update API?还是我们需要创建一个单独的租户?
理论上 - 可以限制 API 对特定角色的可见性,但有一种解决方法。如果发布者正在显示统计信息 - 统计信息显示 APIs 的记录,如果没有特定的限制角色,用户不应该看到这些记录。单击统计记录(例如订阅数),用户将获得编辑 API 的权限,这不应该被看到。所以 - 现在我们通过默默无闻获得安全性。
对于商店和网关 - 确实检查了角色。在这里,我正在考虑出版商
根据设计,单个租户中的所有 API 对该租户中的每个发布者都是可见的。 Role-based可见性仅适用于商店。
如果创建多个租户,则可以隔离 API 个。如果您想访问商店中的所有这些,您可以将 API 可见性设置为 "public"。