OpenID Collega il token di accesso per accedere alle API protette

2

Nel nostro setup abbiamo bisogno sia dell'autenticazione utente affidabile che dell'autorizzazione basata sull'ambito.

Considera il seguente scenario: un utente accede al nostro client (portale) utilizzando OpenID Connect e il nostro cliente desidera accedere a una risorsa ("lettura") su un server di risorse (esposto da un'API del servizio di backend) su un altro server protetto da OAuth 2.0.

Sarebbe un approccio legittimo aggiungere un ambito di "lettura" personalizzato a OpenID Connect e utilizzare il token di accesso ricevuto (!) per accedere a un'API protetta che richiede l'ambito "read"?

    
posta oliver 10.03.2016 - 17:51
fonte

1 risposta

0

Per rispondere alla mia stessa domanda. Sì, è legittimo farlo. Utilizziamo OIDC per l'autenticazione e access_token per proteggere le API.

    
risposta data 16.01.2017 - 09:34
fonte

Leggi altre domande sui tag