所以我有一个.NET Web应用程序可以通过OpenID连接到多个身份提供者(某些内部某些外部提供者)进行身份验证。这些提供商给了我" id令牌"。
我还有多个我想要保护的REST API。由于我们拥有内部授权机制,因此每个都只需要用户ID。
但是,将id_token传递给API会被认为是不好的做法,而且我应该从某个地方获取访问令牌。问题是,从哪里获得代币的最佳位置?我是否真的需要像IdentityServer这样的东西,或者我应该生成一个简单的REST API,它可以解包id_token并将用户名重新包装为具有正确受众的access_token?
事实上,每个API都有自己的端点,将id_token转换为该API的access_token?这是在每个API中嵌入IdentityServer的吗?
很抱歉这个混乱,但在这种情况下,将id_token传递给每个API似乎很诱人!