oAuth2 SSO без Cookie
У нас есть родное приложение для iOS и Android, у которого есть пользовательская форма входа, чтобы аутентифицировать пользователя напрямую через конечную точку аутентификации провайдера indentity с поддержкой oAuth2 (приложение отправляет учетные данные пользователя через HTTP-запрос поставщику удостоверений и получает JWT как ответ).
Приложение не имеет возможности открыть браузер с URL-адресом обратного вызова или браузером в приложении, чтобы напрямую открыть форму входа в систему поставщика удостоверений - так что нет возможности установить cookie для SSO. Приложение иногда перенаправляет пользователя на другие службы (в веб-браузере), которые используют один и тот же поставщик идентификаторов. До сих пор пользователь вынужден снова вводить свои учетные данные для входа в систему.
Теперь мы ищем (безопасный) способ реализовать SSO с приложением без необходимости использования cookie-файла (в -app-) для входа в приложение.
Решение, о котором мы думали:
отправляет действительный access_token поставщику идентификаторов вместе с целевым URL-адресом службы, поставщик удостоверений проверяет токен и целевой URL-адрес, удостоверяющий подлинность поставщика пользователь после успешной проверки и перенаправления пользователя на службуМожно ли это считать безопасным решением? Есть ли стандартизованный способ, который мы не знаем, чтобы сделать что-то подобное?