我们有一个有效的REST API,它使用OAuth2密码授予(通过我们自己的Web UI进行访问)和客户端凭据授权(用于脚本访问),并且可能允许将来使用其他授权。
最近有人提出通过OpenId Connect支持第三方单点登录的请求(因此我们可以支持Google和LinkedIn等身份提供商,以及支持OpenId Connect的部分客户内部SSO系统。
我正在尝试了解如何将OpenId Connect流程集成到我们现有的身份验证,授权和身份管理架构中。
一个重要的事情是我们的系统仍然需要控制授权和访问令牌授权和到期。我们只想从选定(但灵活)的提供商列表中选择第三方认证和身份管理。基本上我看到它的方式,OpenId Connect可以选择替换某些用户的密码授权。
任何人都可以为此类设置推荐指南或参考实现吗?我想做一些没有意义的事情吗?
编辑:“现有架构”是指我们自己的现有用户数据库,它支持基于电子邮件/密码的身份验证(使用OAuth2密码授权)。我们希望维护此DB /身份验证流程,但也允许基于第三方OpenId Connect的身份验证。