独立OAUTH2服务器与资源应用编程接口服务器的通信

Question

假设我将创建一个OAUTH2身份验证服务器。假设我需要单独的资源服务器，公开REST API。

身份验证服务器和API服务器之间的最佳通信实践是什么？

解释说，OAUTH2服务器是一个代理，它验证用户的身份并将请求转发到不同的OAUTH2服务器，这些服务器不是第三方，而是在API代理的幕后，依靠它来知道请求给定命令\查询的代理(用户)。

最简单的是，认证服务器将在安全连接下转发用户id (也与ACL规则一起存储在每个API服务器上)，并且访问将被限制为从认证服务器转发到资源API服务器的请求。在这种情况下，身份验证服务器将转发用户id，但这似乎可以成功地防止中间人攻击(尽管API服务器上的防火墙将被配置为只接受来自身份验证服务器的请求)。另一个问题是OAUTH代理的授权，自动授权来自它的任何请求。

是否有现成的解决方案和模式来处理此场景？谢谢!

Answer 1

检查CloudFoundry的用户帐户和身份验证服务。也许会对你有所帮助。它也可以作为独立的OAuth2服务器使用。API Documentation，GitHub