Ich denke, dass Sie den Unterschied zwischen Ressourcen-Server (RS) und Authorization Server (AS) verstehen müssen.
Wenn Sie dem Drittanbieterclient vertrauen, die Tokenausgabe und -validierung in Ihrem Namen durchzuführen, ist es völlig in Ordnung, den Tokenprozess an sie zu delegieren.
das gesagt ist, der Fluss so sein würde:
- User-Agent Ihre Ressource Endpunkt zugreifen.
- Ihre Sicherheitskette überprüft, ob der Benutzer eine Sitzung authentifiziert hat, falls ja, fahren Sie mit der Anfrage fort.
- Wenn nicht, leiten Sie den Benutzer an den Drittanbieter-Authentifizierungsendpunkt mit Token um.
- nach erfolgreicher Authentifizierung des Benutzers, Rückruf, um den Ressourcenzugriff wieder aufzunehmen.
- Wenn der Vorgang fehlgeschlagen ist, rufen Sie den Benutzer auf, um auf die Ableitungsseite zuzugreifen.
Ich denke, dass Sie den Unterschied zwischen Ressourcenserver und Authentifizierungsserver verstehen müssen. Wenn Sie dem Client vertrauen und nachdem er das Token in Ihrem Namen validiert hat, können Sie ihn auffordern, zu einem Rückruf an Ihren Endpunkt umzuleiten. – chenrui