Я хочу, чтобы мое приложение проверяющей стороны (RP) могло подключаться к любому поставщику oidc. Это означает, что пользователи смогут настроить любого поставщика удостоверений, поддерживающего openid connect.
Поэтому я хочу, чтобы в моем приложении RP был один uri перенаправления, например
Так что все IDP будут вызывать один и тот же в потоке кода аутентификации.
Как RP будет различать каждого IDP? и знаете, к какому IDP обратиться для завершения потока oauth?
Вы можете использовать параметр state запроса аутентификации:
stateНепрозрачное значение, используемое для поддержания состояния между запросом и обратным вызовом ...
Значение состояния будет содержать как случайную часть, так и идентификатор привилегированного пользователя. Например "google-A41DsGDm". Поставщик аутентификации должен возвращать то же значение состояния, что и URL-адрес перенаправления, содержащий код аутентификации. Таким образом, ваш /auth/callback обработчик будет знать, какую /token конечную точку провайдера аутентификации вызывать для получения токенов (после проверки случайной части значения состояния).
Для полноты картины, если вы просто хотите использовать один внутренний обработчик, вы можете сопоставить все URI, начинающиеся с /auth/callback, с обработчиком и принять следующий параметр пути в качестве идентификатора поставщика аутентификации. Например /auth/callback/google?code=....
google, а другой - goog, но мне нужно знать, что оба они имеют в виду Google. Возможно, мне нужно сгенерировать случайный идентификатор для idp и сопоставить его с конкретным idp. Например, ukjsd3hb будет сопоставлен с Google, и я запрошу базу данных, чтобы найти сопоставление и использовать /auth/callback/ukjsd3hb?code=... в качестве обработчика.
- person Michael; 20.02.2019
