非 Auth0 網站 Auth0 安全 API 之間的 SSO 是否可能?
[英]Is SSO between non Auth0 website Auth0 secured API possible?
問題描述
我需要在我客戶的網站和我的 API 之間啟用 SSO。
客戶網站不使用 Auth0,但允許用戶使用一些不同的社交提供商(如 Microsoft 和 Google)登錄。
我的 API 使用 Auth0 進行保護,並且還通過 Auth0 支持 Microsoft 和 Google 身份驗證。 如果我的客戶將用戶通過 Google 身份驗證時收到的 JWT 令牌發送給我的 API,那么即使我的客戶不使用 Auth0,Auth0 是否也會對用戶進行身份驗證?
2 個解決方案
解決方案1
1 2019-12-18 22:44:22
Google/Microsoft 身份驗證是 OAuth。 OAuth 是用戶和一個特定應用程序之間的明確授權。 它不能也不會與您的應用共享。 用戶需要對您的應用程序執行單獨的 OAuth 流程以授予其訪問權限。 沒有辦法解決這個問題。
然而,鑒於這是一個 API,更有可能的情況是用戶根本不應該使用您的應用程序進行身份驗證,而應該是客戶的應用程序進行身份驗證然后代表用戶工作。 因此,您只需將客戶的應用程序設置為客戶端,並為他們提供要使用的客戶端憑據。 然后,用戶使用客戶的網站進行身份驗證,客戶的網站通過其客戶端憑據使用您的 API 進行身份驗證,然后用戶實際上通過客戶的應用程序作為中間人使用您的 API。
解決方案2
0 2019-12-19 05:39:02
否,如果您的 api 應用程序受 Auth0 保護並使用外部提供程序,則在從外部提供程序驗證並返回 Auth0 后,Auth0 將驗證外部提供程序發出的令牌、解碼令牌、讀取聲明、發出 Auth0 自己的令牌並實現會話管理。 這樣您的 api 應用程序只接受由 Auth0 發出的令牌並驗證令牌使用 Auth0 的密鑰對,它不會接受其他提供者的令牌。
您可以使您的客戶端應用程序和 api 應用程序都由一個身份提供者 (Auth0/Google/Microsoft) 保護。
通過Auth0通過令牌訪問API
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.