有誰知道如何爲WSO2 API Manager添加基於HMAC的身份驗證?背景 - 我們在公開可用的Web服務之前推出WSO2 API Manager 1.3,我們需要JavaScript應用程序(一旦通過驗證)能夠直接使用服務(而不是通過服務器上的服務代理處理OAuth認證)。使用HMAC身份驗證的WSO2 API Manager
有誰知道在WSO2中實現這個最簡單的方法嗎?我們已經開始實現一個AbstractHandler和Authenticator,但這看起來有點過頭了 - 有人必須做到這一點,或者有一些指針呢?
非常感謝您提前。
你可以編寫自己的處理程序,它可以實現AbstractHandler。 簽名驗證可以實現爲類似於'APIAuthenticationHandler'的API處理程序。前面提供的訪問令牌可以用作Mac標識符。消費者機密可以用作Mac密鑰,這是消費者和提供商之間用於簽署標準化請求字符串的共享密鑰。
我不知道這是否會幫助你,但我們需要我們的密碼哈希值在PBKDF2中。所以我擴展了JDBCUserStoreManager,僅覆蓋preparePassword方法。在內部,它從MessageDigest變爲SecretKeyFactory,用於PBKDF2WithHmacSHA1算法。我可以使用Mac嗎?
感謝@kmkale,不正是我們所需要的,但要考慮的事情。 – 2013-02-12 23:48:33
這可以通過實現自定義介體並將其引入到流入序列中。 API Manager公開的API將受到OAuth保護,但實際的後端將受到HMAC保護。您可以在文章[1]中找到更多信息。
[1] https://wso2.com/library/article/2017/10/integrating-wso2-api-manager-with-a-hmac-secured-backend/
感謝@Ratha,這是我們目前採取的方式,我想只是有點令人失望,沒有一個主要的認證機制,如HMAC支持開箱即用,但我猜這個產品也很年輕。每當定製編碼安全性時,這種錯誤會帶來安全漏洞。 – 2013-02-12 23:50:36
Thanks..mike我們將在我們未來的路線圖中考慮HMAC auth – Ratha 2013-02-13 04:47:19
感謝@Ratha,至少有一個更簡單的實現方法將不勝感激。如前所述,如果API正在被JavaScript應用程序直接使用,這是非常普遍的,那麼這真的需要ASAP作爲第7層,因爲其他一些已經支持這一點。 – 2013-02-13 19:01:26