假设我有2个不同的应用程序,即X和Y。这两个应用程序均已正确配置了第三方身份提供商(SSO服务提供商)。
现在我的X应用程序中有了一个新客户端。他喜欢我所提供的,他想为什么不注册。
因此,他向我的应用程序X进行了注册,并且当我使用SSO系统时,我所有的用户信息都将交给身份提供者。
我们的新用户现在已成功登录。
我真正的问题在这里。我去。
每次用户都对我网站上受保护的端点执行某些操作。我是否总是需要验证他的身份?我是否总是必须通过从我的反向渠道向我的身份提供者发送请求来找出用户是否具有有效的acces_token。
这意味着每次用户将请求发送到我的服务器时,我都会从我的身份提供商处对其进行验证。
这意味着对于每个请求实际有2个请求。我的服务器必须等待一段时间才能执行某些操作,直到身份提供者告知这是已验证用户。
感觉要付出很多代价。
还有另一种方法吗?如果您能告诉我,我将不胜感激。