以下是该方案:
我有一个带有一些RESTful API的Web应用程序,用户正在使用IdP来执行SSO。我将我的网络应用程序(以及许多其他第三方网络应用程序)注册到IdP,当用户想要使用我的网络应用程序时,我会将用户重定向到IdP的登录页面并执行正常的SAML 2内容来验证用户。这部分已经完成。现在登录后,用户可以自由使用注册到IdP的任何Web应用程序。接下来要做的是授权其中一些Web应用程序(不是全部)能够使用我的RESTful API。
与正常的OAuth 2授权流程不同,不是用户允许他们的第三方Web应用程序使用我的API,相反,我想控制哪些第三方Web应用程序可以使用我的API。用户会要求我授予他/她的某个Web应用程序以使用我的哪些API。或者任何其他好的建议我都是耳朵。