OIDC委派

Question

我有一个关于OIDC代表团的问题，我想要一些帮助，感谢任何关于这方面的意见。

我有一个OIDC OP，并希望根据其他OIDC OP对RP进行身份验证--因此，将有OIDC请求进入我的OP，我希望将这些请求委托给其他远程OP。我的OP将收到一个令牌，其中"iss“将是远程OP，而"aud”将是我在OP上创建的OIDC客户端。然后，我将在我的OP中生成另一个令牌，我将向RP发出该令牌，其中"iss“是我的OP，"aud”是RP的clientID。

我使用node-oidc-provider作为我的操作，我想知道如何设置它--我正在考虑创建一个具有client_credentials授权类型的客户机，但我不确定这是正确的吗？

Answer 1

通常，如果您在不同的IdP之间链接OIDC，则不会使用客户端凭据。客户端凭据是为您验证客户端身份而不是用户身份时保留的。

对于您的情况，我将假设您希望让第二个OP对您的用户进行身份验证。所以你会遇到这样的情况：

User -> Your App ( RP ) -> Your Authorization Server ( OP ) -> Other Authorization Server (OP2) -> OP -> RP

对于RP -> OP，您将使用任何有意义的流。如果您的RP是一个webapp，并且您没有涉及到资源服务器，那么您可能只想使用response_type=id_token并通过response_mode=form_post将ID令牌传递回您的应用程序。如果您还需要访问令牌，那么您可能希望在PKCE中使用验证码。

当OP -> OP2时，您可能只需要使用response_type=id_token和response_mode=form_post，因为您的OP只需要一个ID令牌来验证用户是否已通过身份验证，并获得您需要的任何用户信息(可能还需要其他角色声明等)。您也可以在这里使用身份验证码(现在总是推荐使用PKCE)，但这并不是必需的，因为您可以只验证ID令牌签名和随机数。然后，OP仅使用OP上的回调的重定向URI重定向到OP2的授权端点。一旦验证了ID令牌，就可以将用户重定向到RP的回调和done :)。