Mi è stato solo chiesto di consentire agli utenti di un partner di autenticarsi nel backoffice semplicemente facendo clic su un collegamento nel backoffice. Gli unici dati comuni che abbiamo sono questi utenti mail.
Non riesco a vedere come posso implementarlo in modo sicuro. Qualche informazione?
Sembra che OAuth2 sia la strada da percorrere. Dopo un po 'di lettura suppongo che il flusso debba essere come
- dare al backoffice del partner un token di accesso attraverso credenziali del cliente concedere
- falli usare questo token chiamando un endpoint che restituirà un link data la posta dell'utente come parametro
Il link conterrà un token univoco di utilizzo che verrà utilizzato per autenticare l'utente.
Dato che tutte le chiamate utilizzano HTTPS, penso che sarebbe sicuro?