Okta OpenID Auth для пользовательских серверных приложений

Question

У меня есть учетная запись Okta, которая выполняет аутентификацию с использованием OpenID и OAuth 2.0.

Существует одно веб-приложение, в которое пользователи могут войти, и проверка подлинности на моем API подтверждена с использованием id_token и access_token , созданных виджетом Okta Sign-in (веб-приложение).

Моим пользователям также нужно будет выполнять запросы API напрямую со своих серверов, а не из пользовательского интерфейса; однако виджет входа требует перенаправления URL-адреса для получения токенов.

Как пользователи приложения могут извлекать токены из серверного кода, чтобы иметь возможность отправлять аутентифицированные запросы моему API?

Answer 1

Okta поддерживает поток Resource Owner Password, который может удовлетворить ваши потребности, потому что он позволяет запрашивать учетные данные пользователя непосредственно у okta, делая вызов API api, например:

POST https://youroktadomain.com/oauth2/default/v1/token?grant_type=password&username=user1&password=11111&scope=openid

Okta предоставляет очень хорошее пошаговое руководство для настройки Resource Owner Password.

Когда вы выполните эти шаги, у вас будет два варианта:

1. Создать октуОболочка приложения WebApi.Он предоставит конечную точку входа в систему, которую будут вызывать ваши пользователи (в качестве ввода будет использоваться имя пользователя / пароль).Под занавесом это приложение вызывает okta (через rest rest), получает access_token и возвращает его пользователю
2. Поделиться прямым вызовом okta с вашими пользователями

Первый вариант звучит предпочтительнее, поскольку ондает вам некоторый контроль, в то время как второй не требует никаких усилий, но раскрывает ваши внутренние органы.