Я внедряю механизм аутентификации и авторизации для унификации механизма входа на трех разных веб-сайтах с использованием внешнего поставщика удостоверений и OAuth2.
Требования, которые вызывают конструктивные последствия.
- Пользователи и разрешения управляются извне существующим веб-сайтам внешнего поставщика удостоверений.
- Пользователь должен войти в систему только один раз.
- Экран входа в систему должен быть встроен в наше приложение, а не с использованием провайдеров идентификации.
Я создаю веб-приложение для входа. Я не уверен, какой поток OAuth2 использовать. Ранее я использовал поток кода авторизации в Spring Security, но, похоже, для этого нужна форма входа внешнего провайдера идентификации.
Должен ли я использовать неявный поток непосредственно из javascript сайта входа? Насколько меня беспокоит то, что он не так безопасен, как поток кода.
Нужно ли вручную обрабатывать решение для вызова sdk idp для получения токенов, а затем вставлять их в заголовки http для последующего использования другими доменами? Предположительно, CORS будет проблемой? Мне нужно будет включить токен идентификатора, чтобы другой домен знал, какой он пользователь - безопасно ли передавать идентификатор токена через браузер пользователя ресурса.
спасибо за любое руководство, поскольку вы можете сказать, что это немного путаница в моей голове!