没有Cookie的oAuth2 SSO

时间:2018-08-13 12:54:13

标签: authentication mobile oauth-2.0 single-sign-on custom-authentication

我们有一个本机iOS和Android应用程序,该应用程序具有自定义登录表单,可以通过启用了oAuth2的身份提供程序的身份验证端点直接对用户进行身份验证(该应用程序通过HTTP请求将用户凭据发送给身份提供程序并获取JWT作为响应)。

该应用程序无法打开带有回调URL的浏览器或应用程序内浏览器来直接打开身份提供商的登录表单-因此,无法为SSO设置Cookie。 该应用有时会确实将用户重定向到使用同一身份提供者的其他服务(在Web浏览器中)。到目前为止,用户被迫再次输入其凭据才能登录。

我们现在正在寻找一种(安全的)方法来通过应用实现SSO,而无需使用启用了Cookie的(应用内)浏览器来登录应用。

我们考虑过的解决方案:

  • 将有效的access_token与服务的目标网址一起发送给身份提供者
  • 身份提供者验证令牌和目标网址
  • 身份提供商在成功验证后对用户进行身份验证,并将用户重定向到服务

这可以视为安全解决方案吗?有一种我们不知道要做的标准化方法吗?

0 个答案:

没有答案