我正在尝试查找 RP(中继方)和 OP(OpenID 提供者)是否可以在同一域中。我们有一个在未来实现内部 SSO 的用例,并被要求为每个客户端在同一域上实现授权。
我们共有 3 个域,要求为每个域实现授权。这意味着每个 RP 都是它自己的 OP。显然,这解决了 3 个客户端中的两个问题,与 session 有关。
我认为这是一种糟糕的方法,但我找不到任何文档或案例研究来加强我的论点。
这似乎是对规范的滥用。我这样想的原因是:
- 我在网上找不到其他人在同一域上调用授权的任何示例
- 我在文档中找不到任何说明你可以或不可以的引用资料
- 在 FAQ 内它说:
It lets app and site developers authenticate users without taking on the responsibility of storing and managing passwords in the face of an Internet that is well-populated with people trying to compromise your users’ accounts for their own gain.
鉴于我们在同一个系统上调用授权,我们仍然有存储和管理密码的责任。
问题
- 是否有任何文档支持或拒绝 OpenId Connect 的这种用例?
- 您是否知道正在执行此操作的任何示例?
非常感谢!
最佳答案
这不是 OIDC 的典型用例,但我认为这不是一个糟糕的主意。规范中没有任何内容表明您不能在同一域上使用 OIDC。
据我所知,Google 已经为其所有产品实现了自己的类似 OIDC 的流程,并且它们都在 google 子域下运行。
关于single-sign-on - 同一域中的 OpenID Connect RP 和 OP?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/41861910/