带有B2B连接的OpenID API身份验证

Question

我们使用用户凭证流实现了UI前端登录的OpenId连接，该流程将用户重定向到登录页面。

我们希望在没有重定向流的情况下将OpenId连接用于B2B API。

1. B2B API用户不可信，不能提供客户端机密。
2. B2B API是机械化的，需要登录而不需要重定向到登录UI页面。

是否有第三方用户可以登录并接收访问/ID令牌并将其传递给我们的API？这类场景的最佳实践是什么？

谢谢

Answer 1

要正确地回答这个问题，必须确定精确的客户端使用，因为解决方案总是基于此驱动的。

场景1: OAUTH客户端是业务伙伴的后端

B2B API通常是从业务合作伙伴编写的代码中调用的，可能是在他们自己的Web中。在这种情况下，可以使用客户凭据授予，并且可以使用基于互TLS的形式来提高安全性。

一个常见的设置是业务合作伙伴UI调用业务合作伙伴API，然后业务合作伙伴API可以从B2B API返回数据。

场景2: OAUTH客户端是您自己的UI，由业务伙伴用户使用

在这种情况下，移动部件如下：

• 用户被重定向到您的应用程序进行身份验证。
• 授权服务器处理重定向并发出令牌
• 您的UI和API使用此授权服务器中的令牌。

授权服务器可以执行进一步的重定向，以便来自业务合作伙伴的用户可以使用熟悉的凭据登录。我的联合登录博客帖子描述了这是如何配置的。

你的场景？

如果上面没有回答您的问题，请更详细地描述您的场景：

• 你为什么要避免重定向？
• 用户已经登录到自己的应用程序了吗？