我想为父/子关系想出适当的OAuth2身份验证流程。
App-A和App-B是两个独立的应用程序。 App-A
在点击从App-A
的链接时在iframe中打开App-B
。设计OAuth2身份验证流程
我负责维护App-B
。
如何设计流程,以便App-B
识别来自App-A
的用户,并在两个应用程序之间保持相同的会话?
这是我想出了迄今为止流量:
App-A
将提供客户端ID和秘密密钥来App-B
相互作用之前。用户向
GET /person
请求App-B
的端点parentId
。App-B
将随后向App-A
服务器与客户端ID,秘密密钥和redirect-url
设定为GET /person
的请求。
现在什么App-A
将发送给App-B
通过身份验证的用户的会话信息。
如果流量没有任何意义,你可以摆脱它