我正在尝试实施替代策略,以注册并验证不想使用社交登录并希望使用基于用户名和密码的验证的用户。
我的身份验证服务器是用node.js编写的,带有password.js和expressjs。如果使用openid connect认证成功,它将返回JWT令牌。
我的问题是在这种设置中本地身份验证如何与外部身份验证一起使用?
我想到了使用资源所有者密码凭据进行本地身份验证,并使用此流程将Web应用程序的凭据传递给身份验证服务器。
此ROPC本地身份验证的优势在于,授权服务器可以使用oauth支持本地身份验证和社交登录。
这是一种好习惯还是应该将本地身份验证只是非openid连接简单解决方案?