在过去的几天里,我一直在努力绕过某些事情。我之前使用过OAuth2服务器,熟悉所有规范授权类型。但我正在开发一个应用程序,我想使用OpenID服务对我的OAuth2服务器进行用户身份验证。
但问题是我希望对我的应用程序和服务器进行隐式信任,所以有点像资源所有者密码授予。但问题是我没有使用密码进行身份验证,我使用OpenID提供程序进行身份验证。
那么基本上我会被制作一个自定义授权类型来解决这个问题吗?是否有未来计划在规范中实施此类授权类型?任何建议都会非常感激,因为经过长时间的努力搜索后我找不到相关的信息。
由于
答案 0 :(得分:0)
该规范起草了OAuth断言流程,该流程主要用于与外部提供商进行身份验证。 IETF草案位于here
支持断言流的OAuth服务器(不是完整列表):