OAuth2和OpenID API到API的通信

Question

我们有几个相互通信的微服务，所有这些微服务都使用Oauth2授权来允许访问其应用程序接口。流程从UI开始，在那里我们使用标准的'authorization_code‘流程，最后获得一个access_token来调用特定的API-1服务(注册为client_id '123')。然后，UI向API-1 ( auth 123)发送一个请求，我们的API-1现在验证与client_id服务器一起传递的访问令牌。一旦生效，这个API就需要与另一个需要access_token的API (API-2) (我们的内部微服务)通信。我们不能重复使用相同的access_token，因为它是为特定客户端设计的。API-1可以使用令牌交换来与API-2通信，但是API-1的开发人员不想进行任何令牌交换。在这种情况下，我们有哪些选择？

谢谢

Answer 1

典型的解决方案是让API1使用其访问令牌联系令牌服务，并使用令牌交换标准进行交换，以获得访问API2的新访问令牌。

有关详细信息，请参阅OAuth 2.0 Token Exchange并与您的令牌提供商联系。