[英]Microservices OAuth2/OpenID Connect flows
我正在使用微服务体系结构构建一个新的应用程序平台,但我一直在阅读很多有关要使用的各种身份验证/授权的信息。
我打算使用OAuth2 / OpenID Connect,但只是为了确保我的假设正确。
我想知道我的流程是否适合处理我的应用程序的身份验证/授权。 其次,对于我受信任的Apps,如何防止OAuth征求用户的同意?
就协议/标准而言,为您所描述的系统使用OAuth 2.0和OpenID Connect是正确的决定。 它们正在积极使用中,拥有大量的库和第三方提供程序支持,并且在设计它们时还考虑了当今系统所表现出的对HTTP的高度依赖。
在为每个应用程序选择正确的流程方面, 该决定不受认为是第三方或受信任的应用程序的影响 ; 它不仅与应用程序的部署特性有关,还与应用程序是否要代表最终用户或代表应用程序本身访问资源有关。
检查Auth0-我应该使用哪个OAuth 2.0流程? 很好地说明了此决策过程。
第三方应用程序和受信任的应用程序之间的区别由身份提供者/授权服务器自行决定。 通常支持此功能,因此,如果应用程序受信任 ,则不会向最终用户明确征求同意; 在这些情况下,将申请标记为跳过最终用户同意被视为管理步骤,在此步骤中,某人单方面且在行政上决定已授予该申请同意,因此没有必要向最终用户征求同意。
如果您确实决定支持某些应用程序的管理同意,请记住,如果这些应用程序的特征不允许它们成为机密客户端(支持对客户端应用程序本身进行身份验证的安全机制),或者可以通过其他方式确保客户端身份, 然后恶意应用程序可能试图伪造可信应用程序以跳过用户同意步骤 。
使用 OAuth2/OpenId Connect 和微服务进行身份验证和授权
[英]Authentication and authorization with OAuth2/OpenId Connect and microservices
使用 OAuth2 和 OpenID Connect 进行会话管理/撤销
[英]Session management/revocation with OAuth2 and OpenID Connect
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
