Absicherung der API mit OAuth2 Authentifizierung mit Refresh-Token

Informationen zu dieser Task

Bei der Verwendung des Berechtigungscode-Gewährungstyps zum Abrufen des Zugriffstokens müssen Sie zumindest beim ersten Mal die Erlaubnis der Ressourceneigentümer einholen. Wenn Sie bei den nachfolgenden Versuchen, das Zugriffstoken zu erhalten, nicht die Erlaubnis von den Ressourceneigentümern einholen wollen, können Sie das Refresh-Token verwenden. In diesem Anwendungsfall wird erläutert, wie die API mit der Authentifizierungsstrategie OAuth2 gesichert werden kann. Außerdem wird der Arbeitsablauf für das Aktualisierungs-Token im Detail erläutert.

In diesem Anwendungsfall wird erläutert, wie die API mithilfe der Authentifizierungsstrategie OAuth2 mit den Grant-Typen authorization_code und refresh_token gesichert werden kann.

Vorgehensweise

Sie können eine API erstellen. Einzelheiten zum Erstellen einer API finden Sie unter Definieren und Verwalten von APIs.
Aktivieren Sie in der Identifizierungs- und Autorisierungsrichtlinie den Identifizierungstyp OAuth2 token. Einzelheiten zur Identifizierungs- und Autorisierungsrichtlinie finden Sie unter Identifizieren und Autorisieren.
Erstellen Sie den OAuth-Bereich im lokalen Autorisierungsserver.
Ordnen Sie den OAuth-Bereich dem API-Bereich zu. Einzelheiten zum Zuordnen von OAuth-Bereichen finden Sie unter Zuordnen von OAuth- oder OpenID -Bereichen.
Erstellen Sie eine Anwendung mit der Authentifizierungsstrategie OAuth2.
1. Erstellen Sie eine neue Anwendung.
  
  Einzelheiten zum Erstellen einer Anwendung finden Sie unter Erstellen einer Anwendung.
2. Verknüpfen Sie die Anwendung mit der von Ihnen erstellten API.
3. Klicken Sie auf die Registerkarte Authentifizierung, um eine Strategie mit der Authentifizierung OAuth2 zu erstellen.
4. Wählen Sie die Authentifizierungsverfahren unter OAUTH2 aus.
5. Geben Sie den Authentifizierungsserver als lokal an.
6. Aktivieren Sie die Schaltfläche Anmeldeinformationen generieren, um den Client dynamisch im Autorisierungsserver zu generieren, und geben Sie die folgenden Informationen an.
  1. Wählen Sie als Anwendungstyp Confidential. Ein vertraulicher Client ist eine Anwendung, die ein Client-Passwort vor der Welt geheim halten kann. Dieses Client-Passwort wird der Client-App vom Autorisierungsserver zugewiesen. Dieses Kennwort wird zur Identifizierung des Kunden gegenüber dem Autorisierungsserver verwendet, um Betrug zu vermeiden. Ein Beispiel für einen vertraulichen Client könnte eine Webanwendung sein, bei der niemand außer dem Administrator Zugriff auf den Server hat und das Client-Passwort sehen kann.
  2. Wählen Sie das Anwendungsprofil aus dem Menü Anwendungsprofil. Zum Beispiel, Web.
  3. Geben Sie die Dauer in Sekunden an, für die das Zugriffstoken in der Token-Lebensdauer (Sekunden) aktiv ist.
  4. Geben Sie an, wie oft Sie das Aktualisierungs-Token in der Token-Aktualisierungsgrenze verwenden können, um ein neues Zugriffstoken zu erhalten.
    Hinweis: Um Refresh-Token unbegrenzt zu verwenden, geben Sie das Limit als -1 an.
  5. Geben Sie die URIs an, die der Autorisierungsserver verwenden kann, um den Browser des Ressourcenbesitzers während des Erteilungsprozesses umzuleiten. Sie können mehrere URIs hinzufügen, indem Sie auf +Hinzufügen klicken.
  6. Geben Sie die Art der Gewährung an, die für die Erstellung der Berechtigungsnachweise verwendet werden soll. Für diesen speziellen Anwendungsfall wählen Sie Autorisierungscode, client_credentials und refresh_token, die dynamisch vom Autorisierungsserver geladen werden.
    Hinweis: Stellen Sie sicher, dass Sie refresh_token grant_type auswählen, wenn Sie die Refresh-Tokens erhalten möchten.
  7. Wählen Sie die Bereiche aus, die für die Authentifizierungsstrategie abgebildet werden sollen.
  8. Klicken Sie auf Hinzufügen, um die Strategie zu speichern.
  9. Klicken Sie auf Speichern, um die Anwendung zu speichern.