REST API到授权服务器的API身份验证
[英]REST API to API authentication with Authorization Server
问题描述
我基本上有3种类型的应用程序,首先是授权服务器(AuthServer),资源服务器(ResServer1)和网站。 因此,基本上,从网站到ResServer1的所有调用都使用对AuthServer的承载令牌进行身份验证,该令牌也传递到请求标头中。 AuthServer基于ResourceOwner的授权类型,这意味着用户要访问受保护的方法,需要使用用户名密码进行身份验证
我现在遇到的问题是,我需要引入一个新的资源服务器(ResServer2),它将对ResServer1中的资源进行调用。 由于ResServer2服务不是用户,因此问题是从系统到系统调用的身份验证。 认证另一项服务的最佳方法是什么?
1 个解决方案
解决方案1
1 已采纳 2019-03-11 13:13:54
在这种情况下,存在一个client_credentials授予类型,您的ResServer2将同时成为使用者和资源。 因此,推荐的方法是像这样进行设置,但在这种情况下,您的ResServer2将没有任何用户上下文。
我曾经遇到过类似的情况,根据用户上下文,我们有很多旧代码,并且不能将整个授权机制更改为基于策略,这并不是一个好的选择,但我并不是说这种方法很好,但是我们基本上是建立网站来请求ResServer1和ResServer2的范围,然后在用户登录后,前端从ResServer1请求受保护的数据时,每当需要从ResServer2请求受保护的数据时,ResServer1只会重复使用原始请求中传递的相同承载令牌WebApp。
身份验证筛选器无法与Web API中的授权筛选器一起使用
[英]Authentication Filter not working with Authorization Filter in Web API
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.