我正在开发需要使用内部API的HTML5 / JS应用程序。该应用程序仅由内部用户访问。我想弄清楚在这种情况下应该使用哪种OAuth授权类型
OAuth提供多种授权类型,似乎我们的Web应用程序使用API属于多种情况。
应用程序是HTML5 / JavaScript - 隐式授权的候选者
API访问不应该要求用户授权 - 客户端凭据授予
应用程序使用基于SAML的SSO进行用户登录。一旦用户使用SSO登录,应用程序应该能够访问API。理想情况下,SAML2 OAuth授权类型将提供一种将SAML令牌转换为OAuth并使用它来访问API的方法。遗憾的是,根据Shibboleth / SAML的配置方式,一旦用户登录,就无法访问完整的SAML令牌,并且此授权可能不可行。
我应该使用什么OAuth资助?
此外,应用程序需要将用户身份传递给API以进行日志记录/调试和审计。在上述解决方案中合并用户身份的最佳方法是什么?
谢谢,