我整个晚上都在阅读OAuth2规范:)据我所知,授权服务要求资源所有者向客户授予权限。然后,资源所有者可以授予访问权通过提供用户名/密码。但是,如果资源所有者已经由企业进行单点登录,那么应该不需要提供凭据,对吧?在这种情况下,流程如何?
答案 0 :(得分:1)
相同的流程,除了用户没有明确需要进行身份验证,因为他已经运行了SSO会话。授权服务器要求资源所有者授予权限的同意步骤与用户身份验证或SSO无关,并且将保持不变。或者换句话说:同意步骤是一个单独的屏幕,仅在登录阶段之后呈现。如果存在现有的SSO会话,则可以跳过登录提示,但同意步骤不是。