当我有资源所有者授权类型时,我从不需要处理同意页面,但现在我正在尝试使用OpenID Connect为我的系统创建SSO,我感到非常困惑。 /authorize端点始终显示公共apis(Facebook,Google等)的同意书,因为这曾经是最常用于公共apis的端点。
使用OpenID Connect,/authorize端点似乎正在进行身份验证和授权,因此我应该如何处理同意页面。我的唯一想法是检查客户端是否有授权类型password,如果有,请不要显示同意表,只需使用authorized = true继续处理。这是正确的方法吗?规范中没有写到(或者至少我没有看到任何关于它的内容)。
答案 0 :(得分:2)
如https://tools.ietf.org/html/rfc6749#section-4.3中针对资源所有者密码凭据授予中所述,用户凭据在对令牌端点的调用中呈现,而不是授权端点。后者仅用于授权代码授权。
在将授权请求发送回客户端后,授权服务器可以自行决定是否提供用于发布信息的同意屏幕。根据规范,授权服务器应该在消费者场景中呈现它,但是可以选择在企业场景中禁用它。这将是在授权服务器中配置的特定于实现的选项。