WSO2IS での認証と承認に OAuth2.0 を使用しています。ESB に複数の API があります。ここで、ユーザーは API1 と API2 へのアクセスを許可できますが、API3 へのアクセスは許可されません。
カスタム スコープを定義して、クライアントがすべての API にアクセスするのを制限することはできますか?
それが不可能な場合、API を不正アクセスから保護するにはどうすればよいですか?
補足: 現在、別のアプリケーションを定義してアクセスを制限することしかできません。ただし、クライアント側で複数の clientID と clientSecret を管理する必要があるため、これは適切ではありません。
はい..そのために定義できます...デフォルトでは、Identity Serverはアクセストークンを付与する前にスコープパラメーターを検証しません。そのためには、リソース サーバーに応じて新しい OAuth コールバック ハンドラ クラスを実装する必要があります。このブログ投稿がそれを説明していると思います。ただし、私が知っているように、WSO2 Identity Server はスコープに基づいたアクセス トークンを提供しません。アクセス トークンは、クライアントおよびリソース所有者ごとに発行されます。クライアント、リソース所有者、およびスコープごとではありません。これはすでに wso2 public メーリング リストで議論されており、次のリリースで修正される予定です。