几个月前,我们与自己的内部SSO平台一起部署了Discourse(https://www.discourse.org)。当时,这是发布此应用程序的最快(不是最聪明)的方式。该平台依靠API(named CoreApi)对用户进行身份验证。我们有一个“ oAuth”身份验证端点,它接受用户名/密码并返回AccessToken(JWT)和RefreshToken。
现在,我们要“支持”另一个名为MyPage的网站。关于MyPage的有趣之处在于,它还依靠CoreApi来检索与用户或客户端相关的数据。
从我的角度来看,为了支持MyPage,我们的SSO平台需要返回一个“令牌”,以便网站可以对用户进行身份验证。这引起了几个问题:
使用HTTP Get请求传递令牌并不完全安全。拦截请求的任何人都可以查询我们的API。
听起来不是很自然。
MyPage。 MyPage,并传递一个“令牌”(refreshToken,尚不确定新型令牌)。MyPage将此令牌传递给我们的API,以再次登录(双重身份验证)对我来说,就像我们没有朝正确的方向前进。
问题:
MyPage中所需的API身份验证?是否有任何可遵循的工具/最佳实践?注意:
感谢您的帮助