Я создаю REST API на основе микросервисов и собственный веб-интерфейс SPA для приложения. API должен быть защищен с помощью OAuth2.0, чтобы позволить другим клиентам в будущем. В идеале он должен использовать поток кода авторизации с Proof Key for Code Exchange (PKCE)
Насколько я понимаю, мне нужно запустить свой собственный сервер аутентификации OAuth, который управляет клиентами API и генерирует токены доступа и т. Д. c . Также мне нужна моя собственная служба аутентификации / IAM с собственным входом для входа пользователя и предоставления авторизации клиента. Эта служба - место, где учетные данные пользователей в конечном итоге проверяются на серверной части. Последняя часть должна быть гибкой, и бэкэнд может быть сервером LDAP в некотором развертывании частного облака.
Эти компоненты (Auth Server и IAM servicve) находятся за пределами области действия OAuth, но появляются, поправьте меня, если я неправильно, если я использую собственный API для своих пользователей.
Однако создание этих сервисов самому, кажется, требует больше работы, чем я оцениваю, не считая очевидных рисков безопасности.
Я читал об auth0 и okta, но не уверен, подходят ли они для моего варианта использования с приложением, потенциально развернутым в частном облаке. Я также думал о запуске Hydra (OAuth Server) и Kratos (IAM) с помощью ory , но я не уверен, что это добавляет слишком много зависимостей в мой проект.
Разве там нет простой способ защитить API с помощью OAuth, который работает с сервером Auth и IAM, который подходит для небольших проектов?!