我的应用程序是服务提供商,我有一个客户端将实施IDP发起的SSO并将向我传递用户配置文件。客户端不打算使用任何标准协议,如SAML或OPENID Connect。据推测,我们将使用经过身份验证的用户配置文件向我们的REST端点发送POST。 除了使用https之外,保护此类交易的最佳方法是什么? 是否有可以在我们这方面实施的工具可以使这种交互更加标准化? 我们正在研究开源工具和OpenID Connect协议,但它们必须在双方都实施,这对客户来说很难。 我们应该考虑授权令牌(OAuth)还是别的什么? 在这种情况下通常会做什么?