Hier zuzugreifen, ist das Szenario:Autorisieren von Cross-Site-Web-App meiner RESTful API
Ich habe einen Web-App mit einigen RESTful APIs, die Benutzer einen IdP verwenden SSO zu tun. Ich habe meine Web-App (sowie viele andere 3rd-Party-Web-Apps) beim IdP registriert und wenn die Benutzer meine Web-App benutzen wollen, werde ich die Benutzer auf die Login-Seite des IdPs umleiten und normales SAML 2-Zeug zur Authentifizierung des Benutzer. Dieser Teil wurde bereits gemacht. Nach dem Einloggen können die Benutzer nun frei jede für den IdP registrierte Web-App verwenden. Als Nächstes müssen einige dieser Web-Apps (nicht alle) autorisiert werden, meine RESTful-APIs verwenden zu können.
Anders als beim normalen OAuth 2-Genehmigungsablauf sind es nicht die Benutzer, die ihren Drittanbieter-Webanwendungen erlauben, meine APIs zu verwenden. Stattdessen möchte ich steuern, welche Drittanbieter-Webanwendungen meine APIs verwenden können. Etwas wie der Benutzer wird von mir verlangen, eine bestimmte Web-App von ihm zu gewähren, um welche meiner APIs zu verwenden. Oder irgendwelche anderen guten Vorschläge, ich bin ganz Ohr.
Können Sie nur diese Jungs in Ihrem CORS setzen? – Adrianopolis
bist du sicher, wirst du dieser Route folgen? apps greifen direkt auf api zu und passen verschiedene Apps an unterschiedliche Nutzer an? – geminiousgoel
@geminiousgoel Ja, basierend auf der Rolle des Benutzers (da meine Web-App ihren IdP nach diesen Informationen abfragen darf) und meiner Whitelist von Web-Anwendungen von Drittanbietern, habe ich einige automatisierte Regeln, um Zugriff auf meine APIs zu verweigern oder zu gewähren . – user1589188