API Management を介して一連のマイクロサービスに対して Bluemix で OAuth 2 を適用しようとしています。API Management サービスは、強制ゲートウェイとしてアクセス トークンの有効性のみをチェックするのではなく、常に OAuth 2 承認プロバイダーとして機能するという想定は正しいですか? 後者は私が本当に欲しいものです。
理想的には、アクセストークンを発行、検証、および取り消す手段を備えた独自の OAuth プロバイダー実装を指定したいと考えています。次に、API Management サービスをサービスのプロキシとして使用して、着信する要求が有効なトークンを運ぶようにします。
ドキュメントを読んで、API Management がどのように設計されたかを理解するのに苦労しています。誰かが私が探している方向性を教えてくれませんか、それともセキュリティ スキームに記載されている OAuth フローでの API 管理の役割を理解するのを手伝ってくれませんか?
ありがとう。