Question

我希望使用Azure API Management为一些使用application-only authentication的外部经过身份验证的API（Twitter等）提供集中式API。我想向类似仪表板的移动应用程序提供特定的推文等，而无需用户使用自己的帐户对每项服务进行身份验证。

到目前为止，我还没有找到任何关于这方面的文档或示例。 Policies看起来很有希望，但我还没有能够证明它们。或者可能为每个外部服务创建自己的API应用程序（以正确处理身份验证），然后通过API Management管理该API。

任何人都有关于更好地实现这一目标的想法/想法？感谢。

Answer 1

感谢@DarrelMiller让我保持正确的路径

解决方案最终只是需要将正确的承载令牌作为标头传递，在操作的入站策略中使用Set-Header完成。 Twitter has non-trivial instructions关于如何获取服务的持票人令牌。

示例：

<inbound>
    <set-header name="Authorization" exists-action="override">
        <value>Bearer xxxxxxxxxxxxxxxxxxxxx</value>
    </set-header>
    <base />
</inbound>

管理外部认证API

1 个答案: