Okta - Wie identifiziere ich in diesem Fall den aktuell angemeldeten Benutzer?

Question

Ich werde versuchen, die Frage so klar und direkt wie möglich zu halten.

1. Soziale Authentifizierung (Facebook) mit Okta mit Umleitung URI als URL zu meiner benutzerdefinierten Webapp konfiguriert. Diese benutzerdefinierte Webanwendung basiert auf Okta zur Authentifizierung.
2. Der Benutzer besucht meine benutzerdefinierte Webanwendung (nicht authentifiziert) und klickt auf die URL der sozialen Authentifizierung, um sich bei meiner benutzerdefinierten Webanwendung anzumelden.
3. Der User folgt dem normalen Ablauf, wird von Facebook und damit von Okta authentifiziert (wie gewohnt) und wird dann von Okta zurück zur Custom Webapp umgeleitet.
4. Der gesamte Ablauf ist erfolgreich und der Benutzer kann in seinem Browser einen Okta-Sitzungscookie sehen.
5. Die benutzerdefinierte Webanwendung muss dem Benutzer jetzt ihr eigenes Profil anzeigen, indem er einen Okta API-Aufruf ausführt.

Problem: Wie kann meine benutzerdefinierte Webapp identifizieren, die in so gerade angemeldet, dass sie ihre Okta Profil API holen kann?

Ich bin mir bewusst, dass Okta weiß, wer gerade eingeloggt ist wegen Behauptungen, die Facebook an den OAuth-Client (Okta) sendet, aber woher weiß meine App die Identität des angemeldeten Benutzers?

Danke,

Jatin

Answer 1

Es hängt von der OAuth2 flow Sie für Ihre App ausgewählt haben, aber der Endzustand ist ein id_token von Okta bekommen, die claims über den Benutzer enthält, der sich angemeldet hat.

Wenn Sie response_type=code in Ihrem sozialen auth url (/authorize) festgelegt haben, nach dem Schritt 4 Sie eine code Abfrage param in der Umleitung erhalten werden, die Sie dann für die id_token tauschen diemitEndpunkt.

Oder, wenn Sie response_type=id_token eingestellt haben, sollten Sie bereits die id_token in der Umleitung haben - Sie müssen nur validieren/entschlüsseln (mehr Info here).