PingFederate OAuth使用验证访问令牌

Question

我们使用(modpf)将web应用程序与PingFederate集成为SP。我们也希望使用PingFederate作为OAuth服务器。我们可以使用相同的集成工具包来验证OAuth服务器生成的访问令牌吗？或者还有其他库来做这件事呢？

我遇到的一个这样的库是开放度c。有人用它来验证访问令牌吗？

Answer 1

您不能使用(OpenToken)验证Oauth令牌。它们是完全不同的令牌类型和格式。

然而，汉斯赞德贝尔(来自平安身份)实际上写了mod_auth_openidc你的链接和它的描述，它做了以下工作：

“它还可以充当OAuth 2.0资源服务器，验证OAuth 2.0客户端在OAuth 2.0授权服务器上提供的访问令牌。”

mod_auth_openidc还可以用于为基于OpenID连接的Apache提供SSO，从而替代基于OpenToken格式和协议提供SSO的mod_pf模块。同时执行以下两种操作的示例配置：

OIDCProviderMetadataURL https://localhost:9031/.well-known/openid-configuration

OIDCSSLValidateServer Off
OIDCClientID ac_oic_client
OIDCClientSecret abc123DEFghijklmnop4567rstuvwxyzZYXWUT8910SRQPOnmlijhoauthplaygroundapplication

OIDCRedirectURI https://localhost/example/redirect_uri/
OIDCCryptoPassphrase <password>

OIDCOAuthIntrospectionEndpoint https://localhost:9031/as/token.oauth2
OIDCOAuthIntrospectionEndpointParams grant_type=urn%3Apingidentity.com%3Aoauth2%3Agrant_type%3Avalidate_bearer
OIDCOAuthIntrospectionEndpointAuth client_secret_basic
OIDCOAuthRemoteUserClaim Username

OIDCOAuthSSLValidateServer Off
OIDCOAuthClientID rs_client
OIDCOAuthClientSecret 2Federate

<Location /example/>
   AuthType openid-connect
   Require valid-user
</Location>

<Location /api>
   AuthType oauth20
   Require claim scope~\bprofile\b
</Location>

Answer 2

关于你的问题，“还有其他图书馆可以做吗？”我认为这意味着，除了mod_auth_openidc，还有什么别的东西吗？还有另一种选择。OAuth是PingFederate OAuth授权服务器(PingFederate OAuth Authorization，OAS)的RESTful服务。如果您想要做的只是验证传入的访问令牌，那么您将创建一个REST调用到PingFederate美洲组织以验证令牌。在PingFederate中，您需要配置一个OAuth客户端以进行验证。您可以将cURL集成到REST客户端的应用程序中，然后调用PingFederate美洲组织。您必须根据应用程序或服务需求处理响应。