授权web应用程序的用户并允许他们访问API服务。

Question

我想知道可以针对以下要求实施哪些可能的安全机制。

我有一个API服务器，它有多个api服务来提供数据。(例如图API)

我想让少数几个组织访问这些数据。组织有自己的网站，因此他们将代表他们认证用户。

因此，我们所需要做的就是授权用户，如果他是从被允许的组织要求。

这可以由OAuth实现吗？

请提出可以实施的各种安全机制。

Answer 1

您可以考虑要求JWT作为身份验证令牌。对于API调用，每个用户都必须从自己的组织中请求一个签名的JWT，并将JWT作为授权头。您将API服务器设置为只信任从这些组织签名的JWT。通常，您的验证逻辑将验证令牌是否由这些组织签名，并包含匹配的令牌颁发者声明"iss"，并检查过期时间。您还可以要求这些组织将您的api服务器作为令牌受众列出(包括在"aud“声明中)。如果令牌被信任和验证，则可以根据令牌中的其他声明进一步授权用户。

在MicroProfile社区中，我们尝试定义一种可互操作的方式来解决您所描述的类似场景，https://github.com/eclipse/microprofile-jwt-auth/blob/master/spec/src/main/asciidoc/interoperability.asciidoc

Answer 2

您看过Microsoft吗？您可以使用用户名/密码、auth等实现您自己的授权提供程序，从OAuthAuthorizationServerProvider承载令牌继承