OpenID与嵌入式资源连接

Question

设置是：我们有我们的用户。我们的身份验证平台（授权服务器）。还有两种不同的资源。我们的设置中使用了代码授权流程。

现在资源A将资源B中的东西嵌入其页面中（类似于iFrame）。现在我们想要完成的是，一旦用户获得资源A的授权，他就可以透明地从资源B访问嵌入的资源。

这可能吗？如果是这样的话？

Answer 1

如果授权服务器支持单点登录（SSO），则嵌入式页面可以获取其令牌而无需用户输入其凭据。步骤如下：

1. 用户请求资源A
2. 资源A将用户重定向到OAuth2服务器以获取令牌
3. OAuth2服务器为用户创建会话（由浏览器cookie标识）
4. 用户通过身份验证并被重定向到资源A页面
5. 资源A页面请求资源B页面，因此资源B转到第2点，但跳过第4点，因为OAuth2服务器已经有用户的会话，并且不再要求身份验证。< / LI>

   或者，如果您的应用程序不需要access_tokens，只需要ID令牌，您可以将它从资源A传递到资源B（例如作为URL参数）。在这种情况下，ID令牌应在其aud（受众）参数中包含两个客户端（资源A和B）。