asp.net-core - 非 Auth0 网站 Auth0 安全 API 之间的 SSO 是否可能?
问题描述
我需要在我的客户网站和我的 API 之间启用 SSO。
客户网站不使用 Auth0,但允许用户使用微软和谷歌等一些不同的社交服务提供商登录。
我的 API 使用 Auth0 进行保护,并且还支持通过 Auth0 进行的 Microsoft 和 Google 身份验证。如果我的客户向我的 API 发送用户通过 Google 进行身份验证时收到的 JWT 令牌,那么即使我的客户不使用 Auth0,Auth0 也会对用户进行身份验证吗?
解决方案
Google/Microsoft 身份验证是 OAuth。OAuth 是用户和一个特定应用程序之间的显式授权。它不能也不会与您的应用共享。用户需要对您的应用程序执行单独的 OAuth 流程以授予其访问权限。没有办法解决这个问题。
但是,鉴于这是一个 API,更有可能的情况是用户根本不应该对您的应用程序进行身份验证,而是应该由客户的应用程序进行身份验证,然后代表用户工作。因此,您只需将客户的应用程序设置为客户端,并为他们提供客户端凭据以供使用。然后,用户使用客户的网站进行身份验证,客户的网站通过其客户端凭据使用您的 API 进行身份验证,然后用户实际上通过客户的应用程序作为中间人使用您的 API。
推荐阅读
- ios - 获取 Wifi(SSID) 列表 ios 应用程序并连接到我的应用程序是可能的吗?
- linux - 未投递的邮件退回给发件人 - 不同的域目的地
- google-cloud-spanner - CloudSpanner 是否支持模糊搜索或通配符搜索?
- google-cloud-platform - 围绕创建 VPC 访问连接器的困惑
- select - Azure AD Graph 组成员 oData 结果限制
- php - 此 Convert JSON in Array 返回为 null
- python - 循环列表中的多个范围
- vue.js - 监视计算属性的代码似乎永远不会运行
- rust - 如何解决错误“线程'main'在'没有当前反应堆'时恐慌”?
- javascript - 如何让 onKeyPress 在 iOS 上使用盲文显示器给我最后的按键输入?