Product-apim: 메모리 구독 확인

에 만든 2020년 06월 03일 · 11코멘트 · 출처: wso2/product-apim

문제 설명

구독 검증의 경우 게이트웨이는 키 관리자 노드에서 실행 중인 키 검증 서비스를 호출하고 키 관리자는 데이터베이스에 액세스하여 검증에 필요한 데이터를 검색합니다.

데이터베이스 오류의 경우 런타임에 요청이 실패할 가능성이 있습니다.

솔루션 설명

서버 시작 시 및 테넌트에 대한 테넌트 로드 시 메모리에 대한 구독 유효성 검사에 필요한 로드 정보.
애플리케이션 생성과 같은 업데이트의 경우 구독을 추가하면 이벤트를 통해 트래픽 관리자에 알림이 전송됩니다.
게이트웨이는 주제를 통해 이 이벤트를 구독합니다.

어떻게 구현할 것인가

PrioritNormal TypNew Feature

출처

isharac

가장 유용한 댓글

우리의 요구 사항은 APIM과 함께 Micro-Gateway를 사용하는 것입니다. 사용자는 APIM에서 JWT를 생성하고 이를 사용하여 개별 Micro-GW:s에 액세스할 수 있습니다. 이전에는 모든 구독 API가 JWT 메타데이터에 있었고 Micro-GW에서 "오프라인"으로 확인할 수 있었습니다. 이 새로운 설정을 사용하려면 모든 Micro-GW 인스턴스가 JMS 구독을 수신하여 최신 상태로 유지해야 합니까? (그리고 JWT에서 클라이언트가 사용할 수 있는 구독을 확인할 방법이 없음)

잠재적으로 수백 개의 마이크로 GW가 있는 경우 누군가가 401을 받는 이유를 디버깅하는 것은 혼란스러울 것이라고 생각합니다...토픽이 등록되지 않았습니까? 이를 만들기 위해 마이크로 GW를 다시 시작해야 합니까? 마이크로-GW 모든 잠수정을 갖는 등 시작 때 APIM가 응답하지 않는 경우 발생하는 모든 서브 스크립 메타 데이터 다운로드 cribedAPI을 : S 및 메타 데이터 JWT-메타 데이터에 부착 된 솔루션이 훨씬 더 "강력한"및 제작 Micro-GW:s는 JWT가 모든 정보를 보유했기 때문에 APIM과 아무런 관련이 없었습니다(그리고 클라이언트는 키로 액세스할 수 있었던 구독이 JWT 메타데이터에서 스스로 확인할 수 있었습니다). 따라서 내가 원하는 것은 Micro-GW:s와 함께 사용할 이전 동작 JWT를 생성하는 방법뿐입니다. APIM을 위해 일부 JWT-Generator 클래스를 확장하여 가능할까요? (또는 이 새로운 핸들링으로 인해 달성하기가 매우 어렵습니까?)

christian-morin 에 2020년 09월 08일

👍2

모든 11 댓글

@isharac

서버 시작 시 및 테넌트에 대한 테넌트 로드 시 메모리에 대한 구독 유효성 검사에 필요한 로드 정보.

PR wso2/carbon-apimgt#8563에서는 서비스가 현재 보안되지 않습니다. 이러한 서비스는 어떻게 보호됩니까? 기본 인증 또는 OAuth?

praminda 에 2020년 06월 03일

@isharac @chamilaadhi
또한 이 변경으로 인해 JWT 및 키 유효성 검사 응답 페이로드 아래에서 정확히 어떤 속성을 잃게 될까요?

JWT:

{
  "aud": "http://org.wso2.apimgt/gateway",
  "sub": "[email protected]",
  "application": {
    "owner": "admin",
    "tierQuotaType": "requestCount",
    "tier": "10PerMin",
    "name": "New App",
    "id": 2,
    "uuid": null
  },
  "scope": "am_application_scope default",
  "iss": "https://localhost:9443/oauth2/token",
  "tierInfo": {
    "Unlimited": {
      "tierQuotaType": "requestCount",
      "stopOnQuotaReach": true,
      "spikeArrestLimit": 0,
      "spikeArrestUnit": null
    }
  },
  "keytype": "PRODUCTION",
  "subscribedAPIs": [
    {
      "subscriberTenantDomain": "carbon.super",
      "name": "PizzaShackAPI",
      "context": "/pizzashack/1.0.0",
      "publisher": "admin",
      "version": "1.0.0",
      "subscriptionTier": "Unlimited"
    }
  ],
  "consumerKey": "some_value",
  "exp": 3738643151,
  "iat": 1591159504,
  "jti": "some_valu2"
}

키 검증 응답

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">
    <soapenv:Body>
        <ns:validateKeyResponse xmlns:ns="http://org.apache.axis2/xsd">
            <ns:return xmlns:ax2129="http://keymgt.apimgt.carbon.wso2.org/xsd"
                       xmlns:ax2131="http://api.apimgt.carbon.wso2.org/xsd"
                       xmlns:ax2133="http://dto.impl.apimgt.carbon.wso2.org/xsd"
                       xmlns:ax2135="http://model.api.apimgt.carbon.wso2.org/xsd"
                       xmlns:ax2136="http://dto.api.apimgt.carbon.wso2.org/xsd"
                       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="ax2133:APIKeyValidationInfoDTO">
                <ax2133:apiName>$APINAME</ax2133:apiName>
                <ax2133:apiPublisher>admin</ax2133:apiPublisher>
                <ax2133:apiTier xsi:nil="true" />
                <ax2133:applicationId>$APPLICATION_ID</ax2133:applicationId>
                <ax2133:applicationName>$APPLICATION_NAME</ax2133:applicationName>
                <ax2133:applicationTier>$APPLICATION_TIER</ax2133:applicationTier>
                <ax2133:authorized>true</ax2133:authorized>
                <ax2133:authorizedDomains xsi:nil="true" />
                <ax2133:consumerKey>fxzmLefepgKF2Qa</ax2133:consumerKey>
                <ax2133:contentAware>false</ax2133:contentAware>
                <ax2133:endUserName>[email protected]</ax2133:endUserName>
                <ax2133:endUserToken xsi:nil="true" />
                <ax2133:issuedTime>15288163</ax2133:issuedTime>
                <ax2133:scopes>default</ax2133:scopes>
                <ax2133:scopes>am_application_scope</ax2133:scopes>
                <ax2133:spikeArrestLimit>0</ax2133:spikeArrestLimit>
                <ax2133:spikeArrestUnit xsi:nil="true" />
                <ax2133:stopOnQuotaReach>true</ax2133:stopOnQuotaReach>
                <ax2133:subscriber>admin</ax2133:subscriber>
                <ax2133:subscriberTenantDomain>carbon.super</ax2133:subscriberTenantDomain>
                <ax2133:throttlingDataList>api_level_throttling_key</ax2133:throttlingDataList>
                <ax2133:tier>$TIER</ax2133:tier>
                <ax2133:type>$KEY_TYPE</ax2133:type>
                <ax2133:userType>APPLICATION</ax2133:userType>
                <ax2133:validationStatus>0</ax2133:validationStatus>
                <ax2133:validityPeriod>9223376854775807</ax2133:validityPeriod>
            </ns:return>
        </ns:validateKeyResponse>
    </soapenv:Body>
</soapenv:Envelope>

praminda 에 2020년 06월 03일

@isharac
서버 시작 시 및 테넌트에 대한 테넌트 로드 시 메모리에 대한 구독 유효성 검사에 필요한 로드 정보.
PR wso2/carbon-apimgt#8563 에서는 서비스가 현재 보안되지 않습니다. 이러한 서비스는 어떻게 보호됩니까? 기본 인증 또는 OAuth?

이것은 기본 인증으로 보호됩니다.

isharac 에 2020년 06월 03일

👍1

@praminda 우리는 이 변경 후에 Oauth 공급자로부터 온 JWT의 표준 JWT 클레임만 갖게 됩니다.

tharindu1st 에 2020년 06월 03일

👍1

확인. 따라서 JWT에서 아래 속성을 잃게 됩니다.

"application": {},
"tierInfo": {},
"keytype": "",
"subscribedAPIs": [],

다음 속성만 키 유효성 검사 응답에서 사용할 수

<ax2133:apiName>$APINAME</ax2133:apiName>
<ax2133:apiPublisher>admin</ax2133:apiPublisher>
<ax2133:apiTier xsi:nil="true" />
<ax2133:authorized>true</ax2133:authorized>
<ax2133:authorizedDomains xsi:nil="true" />
<ax2133:consumerKey>fxzmLefepgKF2Qa</ax2133:consumerKey>
<ax2133:contentAware>false</ax2133:contentAware>
<ax2133:endUserName>[email protected]</ax2133:endUserName>
<ax2133:endUserToken xsi:nil="true" />
<ax2133:issuedTime>15288163</ax2133:issuedTime>
<ax2133:scopes>default</ax2133:scopes>
<ax2133:scopes>am_application_scope</ax2133:scopes>
<ax2133:userType>APPLICATION</ax2133:userType>
<ax2133:validationStatus>0</ax2133:validationStatus>
<ax2133:validityPeriod>9223376854775807</ax2133:validityPeriod>

praminda 에 2020년 06월 03일

이것은 구현됩니다.

isharac 에 2020년 07월 28일

사용자가 이 동작을 구성할 수 있도록 허용할지 여부에 대한 고려 사항이 있습니까? JMS 구독에 의존하여 최신 상태를 유지하는 것보다 JWT의 모든 정보를 얻을 수 있는 것이 훨씬 낫습니다. 또는 적어도 데이터베이스의 모든 구독으로 JWT를 생성하는 방법은 무엇입니까? (특히 micro-gw와 함께 사용하는 경우).

christian-morin 에 2020년 09월 07일

안녕하세요 @christian-morin
이것이 현재 기본 동작이므로 구성할 계획이 없습니다.
그리고 타사 키 관리자는 구독 메타데이터(DB가 공유되지 않음)를 인식하지 못하므로 타사 KM에서 생성된 JWT는 구독 데이터를 포함할 수 없습니다.

특정 요구 사항을 공유할 수 있다면 솔루션을 제시할 수 있습니다.

isharac 에 2020년 09월 08일

christian-morin 에 2020년 09월 08일

👍2

안녕하세요 @christian-morin
귀하의 사용 사례를 지원하기 위해 2가지 옵션을 제시할 수 있습니다.

옵션 1:
MG 3.2.0과 함께 APIM 3.1.0 사용

옵션 2:
API-M 3.2.0을 사용하고 [1]에 설명된 대로 TokenIssuer를 사용자 지정합니다.
이 경우 APIM db를 Key Manager 노드와 공유해야 하며 JWT에 필요한 클레임을 추가할 수 있습니다.

도움이 되었기를 바랍니다!
[1] https://is.docs.wso2.com/en/latest/learn/extension-points-for-oauth/#oauth -token-generator

isharac 에 2020년 09월 10일

안녕하세요 @isharac

답변 감사합니다. 옵션 1은 우리가 제품을 업그레이드할 수 없기 때문에 아주 좋은 장기적 솔루션이 아니라고 가정합니다. ;)

나는 당신이 제안한 대로 맞춤형 TokenIssuer를 작성해야 한다고 생각했지만 그것이 가능해야 한다는 사실을 알게 되어 기쁩니다. 감사합니다.

christian-morin 에 2020년 09월 10일

이 페이지가 도움이 되었나요?

0 / 5 - 0 등급

Product-apim: 메모리 구독 확인

문제 설명

솔루션 설명

어떻게 구현할 것인가

가장 유용한 댓글

모든 11 댓글

관련 문제