我有几个“高度信任的客户端”(即提示用户获取凭据,然后传递给Auth0)桌面应用程序,我想为其实现SSO。我在Auth0中的应用程序启用了“使用Auth0而不是IdP进行单点登录”设置,而我的Auth0租户将SSO cookie超时设置为120分钟。
假设我的第一个应用程序使用以下请求登录用户。
POST {{baseUrl}}/oauth/token
{
"grant_type": "http://auth0.com/oauth/grant-type/password-realm",
"realm": "{{realm}}",
"username": "{{username}}",
"password": "{{password}}",
"audience": "{{apiIdentifier}}",
"client_id": "{{clientId}}"
}
响应包含预期的访问令牌,并且我的Auth0租户中的用户记录已更新,以显示“几秒钟前”的最新登录。
然而,SSO会议呢?饼干设置了吗?我的第二个应用程序现在可以为用户获取访问令牌而无需询问用户凭据吗?我该如何做到这一点?
使用/ authorize端点docs建议silent authentication,但我需要以不涉及重定向的方式检查SSO会话,因为这些是桌面应用程序。