某些网络配置为可信客户端和资源提供商通过反向通道URL(例如http://idp.mycorp.local)访问IdP,而像SPA这样的公共客户端通过前置通道URL(例如https://idp.mycorp.com)访问它 .
这种网络配置的理想解决方案是什么?
我们一直在体验以下选项:
-
使用前端通道主机名填充发现文档中的某些 endpoints (authorization_endpoint,end_session_endpoint),而不管用于请求文档的主机名是什么;
-
配置受信任的客户端通过反向通道URL访问IdP,但在将用户代理重定向到IdP时切换到使用前置通道URL .