rest - REST API的单点登录支持

Question

我正在尝试找到解决以下问题的最佳方法:我们的应用程序是SaaS，它支持Web登录的SAML。该应用程序还公开了应该在自动化和无人值守的流程中使用的REST API，这意味着没有交互式用户可以键入凭据。我们需要允许开发人员针对相关的IdP(已经定义，因为用于API访问的相同凭据也可以用于访问Web应用程序)以编程方式对无人参与的过程进行身份验证。

我想象的流程如下:该程序使用专用API进行身份验证，获取 token 并将 token 用于下一次调用。

在寻找保护REST API的最佳方法时，我找到的大多数答案都建议使用oAuth，它通常需要一个交互式用户，因为它们讨论了一个交互式应用程序，试图代表该用户访问其他系统中的REST API。在密码中。 oAuth也是我挑战的答案吗？如果是这样，流程是什么？

谢谢!

Answer 1

实际上，OAuth 2.0可以用于此用例，因为它允许所谓的客户端(即，您的无人值守的进程)获得开发人员授予的访问 token ，并将该 token 用于您的API。

这里使用的典型流程是代码流:如果开发人员同意，您将运行授权服务器，该服务器向客户端发行 token 。开发人员将使用SAML Web SSO登录到授权服务器。

请注意，在访问REST API时，它不需要 Activity 用户，但是在 token 发行时，它需要一个 Activity 用户。我相信这就是您真正想要的。如果不是这样，则可以利用其他流程，这些流程根本不需要活跃的用户，但我认为它们不适合此特定用例。毕竟，您希望客户代表开发人员进行操作。

除了访问 token 之外，您的授权服务器还可以向客户端发行刷新 token ，以便在旧的访问 token 到期后，您的客户端可以使用刷新 token 从授权服务器获取新的访问 token ，而不必(交互式地) )再次让开发者参与。