我想看看Oauth2 / OpenIdConnect是否适用于我们的场景。
通常,我们的客户登录我们的系统,创建会话并将客户端重定向到我们的reports.aspx页面。
我们的客户很懒,想要一种方法只需通过他们的供应商网站登录我们的网站,当我们已经拥有用户管理数据库时,我们的供应商不想保留用户管理数据库。
我们的客户正在与他们的供应商合作,让他们的客户端应用程序与我们进行身份验证,然后他们可以重新定向到我们的reports.aspx页面。有点像单点登录。
在Oauth2规范中,有很多对RESTful API端点的引用。如果您没有RESTful api端点怎么办?在授权流程之后,在客户端应用程序交换访问令牌和ID令牌的授权代码之后,我们将返回一个查询字符串以重定向到我们的reports.aspx(而不是供应商的重定向URI)。
我们不会暴露供应商可以代表客户端检索数据的端点。一旦用户从供应商的站点进行了身份验证,我们就会将用户重定向到我们的页面。
这是OAUTH2 / OpenID Connect的一个很好的用例吗?
答案 0 :(得分:0)
没有oauth2依赖于授权服务器,该服务器公开授权代码和访问令牌端点以支持所有可能的oauth流(一些简单的流不需要授权代码端点)。
授权[code]流程,在客户端app交换之后 访问令牌和ID令牌的授权码
如果没有授权服务器可以处理,客户端将在何处获取其代码并将其与访问令牌交换?
请参阅http://www.bubblecode.net/en/2016/01/22/understanding-oauth2/