So loggen Sie sich API zum Identity Provider ein

Question

Unsere Systemarchitektur hat dieses Setup. Wir haben eine API, die von einem WebApp-Client verwendet wird. Wir erlauben Benutzern die Authentifizierung mit einem Identity Provider (IDP), der SAML zurückgibt.

Das Problem ist, wie würden Sie Authentifizierung einrichten? Welcher der folgenden Flüsse wäre besser geeignet?

WebApp-Client steuert den Fluss

• Wenn ein Benutzer-Authentifizierungs Besuche WebApp-Client benötigen, Benutzer zu IDP umleiten.
• Benutzer authentifiziert mit IDP
• IDP Benutzer Webapp-Client mit SAML-Antwort
• WebApp Client an die API, um die SAML geht umleiten zurück.
• Die API wird die Attribute entschlüsseln und lesen.
• API gibt dann Zugriffstoken an den WebApp-Client, den es für nachfolgende Anforderungen verwenden kann.

API steuert den Fluss

• Wenn eine Benutzerauthentifizierung Besuch WebApp-Client benötigt, Benutzer zu einem speziellen Endpunkt API umleiten.
• API umleitet Benutzer IDP
• Benutzer authentifizieren mit IDP
• IDP Benutzern mit SAML Reaktion auf API Umleitung zurück
• API entschlüsseln und lesen, die Attribute
• API ein Zugriffstoken Benutzer des WebApp Client umleitet Passieren an den WebApp-Client, den er für nachfolgende Anfragen verwenden kann.

Answer 1

Ich frage mich derzeit die gleichen Fragen mit Google IDP. Ich überlegte, den Rückgabecode von idp an meine API zu übergeben und den Benutzer dann von meiner API zu authentifizieren.

Wenn Sie etwas Erfahrung haben, lassen Sie es mich wissen :)