如何使用外部身份提供商对API进行身份验证？

Question

我在同一台计算机上具有以下设置：

• WSO2-AM
• WSO2-IM-KM（身份管理器作为密钥管理器）

身份管理器将身份验证联合到外部OpenID身份提供程序。

到目前为止我做了什么：

• 在两个组件之间共享数据库
• 让WSO2-AM将身份验证委派给WSO2-IM-KM
• 将外部提供程序配置为生成的服务提供程序（在WSO2-AM存储中创建应用程序时在WSO2-IM-KM中生成）

当前行为：

• 我可以通过调用以下URL获得授权代码：https://my.site:9444/oauth2/authorize?response_type=code&client_id=pkYcC4xFQ1jt6dQbdZAe6savv4oa&scope=phone+email+address+openid+profile&redirect_uri=https://my.site:9443/store/jagg/jaggery_oidc_acs.jag&nonce=3734e7d4c22f1&state=128d20e14c884，身份验证成功，然后jaggery_oidc_acs.jag端点失败
• 由于jaggery_oidc_acs.jag端点失败，因此我手动将code取回POST到https://my.site:8243/token，这将返回access_token，{{1} }和一个refresh_token

我的问题：

• 我应该如何使之前描述的手动步骤自动化？我是否负责创建专用端点来做到这一点，以使id_token不受客户端的影响，或者WSO2中是否有内置端点？如果合适，此端点是什么？
• 是否有一个端点生成authorization_code URL？

进一步研究后：

我发现以下文档https://docs.wso2.com/display/IS540/Authorization+Code+Grant似乎表明我需要一个“客户端”，但是我没有，我只需要我的API与外部身份提供者进行身份验证即可。

>

Answer 1

正在回答问题01

如果您要使用授权码授予类型来获取访问令牌，则肯定应该有一个回调URL来获取授权码。如果您的回调URL是真实的，则无需执行任何手动步骤，只需从发送到回调URL的请求查询参数中检索授权代码即可。您可以从Playground2示例应用程序[1]中检查此行为，其中回调URL为http://localhost:8080/playground2/oauth2client。

正在回答问题02

请在identity.xml中检查OAuth2AuthzEPUrl标记

[1] https://docs.wso2.com/display/IS570/Setting+Up+the+Sample+Webapp