Sono proprietario dell'app Web "A" e desidero lavorare con un servizio di terze parti "X". L'utente "Alice" ha account su entrambe le piattaforme. L'App A conosce l'ID utente di Alice su X, ma a X non interessa che Alice sia su A o meno.
Voglio fornire al servizio X un meccanismo di facile implementazione che consenta ad Alice di fare semplicemente clic su un collegamento quando si accede a X e - quando non è già connesso - accedere al proprio account nell'app A, dato che A conosce già Alice, naturalmente.
Per la maggior parte mi fido del servizio X in questo scenario. Quindi stavo pensando di dare loro una chiave segreta con cui generare un token JWT di breve durata. L'app A può semplicemente controllare quel token e registrare Alice nel suo account.
Ci sono problemi con questa idea o alternative ovvie? Ho pensato a OAuth, ma ciò significherebbe che il servizio X deve diventare un provider OAuth, che non è richiesto o non dovrebbe diventare. Inoltre, non ho bisogno di accedere a nessuno dei dati di Alice su X o di controllarne il nome o altro.