我有疑问
- WSO2是否支持类似于:https://docs.wso2.com/display/AM190/Exchanging+SAML2+Bearer+Tokens+with+OAuth2+-+SAML+Extension+Grant+Type使用JWT而不是SAML?
是否有可能使用Facebook / Google作为联合身份提供商来实现它?
还有一个:
- 我们可以在WSO2 Api Manager中使用JWT令牌而不是OAuth2访问令牌来授权传入请求吗?
谢谢
我有疑问
是否有可能使用Facebook / Google作为联合身份提供商来实现它?
还有一个:
谢谢
1 回答
是的,它确实 . 我们为此实施了JWT Bearer Grant . JWT Grant背后的想法是,根据可信IDP发布的[1]有效的签名JWT可以交换为access_token . 按照[2]试用JWT Bearer Grant .
Facebook和Google确实以id_token的形式发布JWT . 但目前使用这些id_token作为JWT Bearer Grant存在问题 . 根据规范[1],JWT Bearer Grant必须在'aud'声明中包含一些值,以便让验证承载的实体授予它们对它们的意图 . 目前我们无法对任何OpenID Connect提供商执行此操作,即 . 没有标准方法可以请求OIDC提供商向我们提供我们可以在“X”身份提供商处使用的令牌 .
AFAIK,开箱即用是不可能的 . 一种解决方案是使用JWT使用JWT承载授权类型获取访问令牌 . 然后使用access_token APIM .
[1] https://tools.ietf.org/html/draft-ietf-oauth-jwt-bearer-12#section-3
[2] https://docs.wso2.com/display/ISCONNECTORS/JWT+Grant+Type+for+OAuth2