我正在实现一种身份验证和授权机制,以使用外部身份提供程序和OAuth2在三个不同的网站上统一登录机制。
引起设计隐患的需求。
-在外部身份提供商中对现有网站进行外部管理的用户和权限。
-用户只需登录一次。
-登录屏幕需要嵌入到我们的应用程序中,而不是使用身份提供者。
我正在创建一个登录Web应用程序。我不确定要使用哪个OAuth2流。我以前在Spring安全性中使用了Authorization代码流,但是这似乎需要外部身份提供商的登录表单。
我应该直接从登录网站的javascript使用隐式流吗?我需要担心的是它不如代码流那么安全。
我是否需要提供一个解决方案来调用idp的sdk以获得令牌,然后将其悬吊到http标头中,以供其他域随后使用?大概是CORS问题了吗?我需要为其他域添加ID令牌,以知道它是哪个用户-通过资源用户的浏览器传递ID令牌是否安全?
感谢您提供任何指导,因为您可以在我的脑海中告诉它一些困惑!