Как пройти аутентификацию в API с использованием внешнего поставщика удостоверений?

Question

У меня установлены следующие настройки на той же машине:

• WSO2-AM
• WSO2-IM-KM (диспетчер удостоверений в качестве диспетчера ключей)

Диспетчер идентификации объединяет аутентификацию с внешним провайдером идентификации OpenID.

Что я сделал до сих пор:

• Совместное использование баз данных между двумя компонентами
• Заставить WSO2-AM делегировать аутентификацию WSO2-IM-KM
• . Настроить внешнего поставщика для сгенерированного поставщика услуг (сгенерированного в WSO2-IM-KM при создании приложения в хранилище WSO2-AM)

Текущее поведение:

• Я могу получить код авторизации, позвонив по следующему URL-адресу: https://my.site:9444/oauth2/authorize?response_type=code&client_id=pkYcC4xFQ1jt6dQbdZAe6savv4oa&scope=phone+email+address+openid+profile&redirect_uri=https://my.site:9443/store/jagg/jaggery_oidc_acs.jag&nonce=3734e7d4c22f1&state=128d20e14c884, проверка подлинности завершится успешно, затем оконечная точка jaggery_oidc_acs.jag завершится с ошибкой
• Поскольку конечная точка jaggery_oidc_acs.jag не работает, я вручную извлекаю code, а затем POST в https://my.site:8243/token, что возвращает мне access_token, refresh_token и id_token

Мои проблемы:

• Как я должен автоматизироватьшаг, который я описал ранее?Я отвечаю за создание выделенной конечной точки для этого, чтобы скрыть authorization_code от клиента, или в WSO2 есть встроенная конечная точка?Если уместно, что это за конечная точка?
• Существует ли конечная точка, которая генерирует URL oauth2/authorize?

После дальнейшего исследования:

Я обнаружил следующеедокумент https://docs.wso2.com/display/IS540/Authorization+Code+Grant, который, кажется, указывает на то, что мне нужен «клиент», но у меня его нет, мне просто нужно, чтобы мой API был аутентифицирован внешним провайдером идентификации.

Answer 1

Ответ на проблему 01

Если вы хотите использовать тип предоставления кода авторизации для получения токена доступа, обязательно должен быть URL-адрес обратного вызова для получения кода авторизации.Если ваш URL-адрес обратного вызова является реальным, нет необходимости выполнять какие-либо действия вручную, просто извлеките код авторизации из параметров запроса, отправленных на URL-адрес обратного вызова.Вы можете проверить это поведение в примере приложения console2 [1], где URL-адрес обратного вызова http://localhost:8080/playground2/oauth2client.

Ответ на проблему 02

Пожалуйста, проверьте тег OAuth2AuthzEPUrl в identity.xml

[1] https://docs.wso2.com/display/IS570/Setting+Up+the+Sample+Webapp