Большая часть работы, связанной с аутентификацией конечных пользователей, происходит на стороне пользовательского интерфейса и, конечно же, включает перенаправления авторизации, поставщиков удостоверений, формы согласия и т. Д.
Что касается кода для защищенного REST API, вы вместо этого выполните следующие действия. Как вы говорите, это в первую очередь поведение OAuth 2.0, хотя конечные точки Open Id Connect могут быть полезны:
- Проверка полученных токенов доступа от Сервера авторизации
- Чтение утверждений токенов для идентификации аутентифицированного пользователя
- Для этого вам может потребоваться загрузить ключи подписи токенов из конечной точки JWKS
- Ваш API может искать дополнительные сведения из конечной точки User Info
- Ваш API может использовать конечная точка метаданных для получения указанных выше местоположений конечных точек
- Затем ваш API будет применять правила авторизации на основе утверждений и областей