Ho il seguente semplice scenario:
- Più applicazioni Web condividono la funzionalità SSO
- Un server di autorizzazione viene utilizzato come servizio di identità centrale per le applicazioni Web
- Gli utenti vengono autenticati tramite il server di applicazioni Web e il server di autenticazione utilizzando la concessione del codice di autorizzazione oAuth.
- Esiste una serie di servizi API indipendenti per l'accesso ai dati.
Non tutte le applicazioni Web sono autorizzate ad accedere a tutti i servizi API, quindi è necessario stabilirlo se l'applicazione è autorizzata a utilizzare il servizio.
La mia domanda: Vedo due modi per autenticare le applicazioni Web per il servizio API:
- L'applicazione Web passa il token di accesso dalla concessione del codice di autorizzazione dell'utente (ad esempio un token JWT) al servizio API con la sua chiave dell'applicazione. Il servizio API convalida quindi il token e la chiave dell'applicazione sul server di autorizzazione e risponde con un pass / fail.
- L'applicazione Web crea un altro flusso oAuth (ad esempio credenziali del cliente) con il servizio API e riceve il proprio token di accesso dal server di autorizzazione.
Mi piacerebbe scoprire quale è lo scenario più comune e ha senso implementarlo?