OAuth和SSO功能

Question

我一直在阅读OAuth,并发现它大致执行以下操作

- client sends request token during redirect to server
- Server displays authorization screen to resource owner
- Resource owner provides uid and pw (not passed to client)
- Server sends access token back to client
- clients then users the Access token to gain access to a 
  resource

根据我的情况,OAuth似乎没有启用SSO或联盟,但在某些博客上它暗示它确实执行SSO

这是正确还是不正确.它可以在没有其他协议的帮助下执行SSO吗？

谢谢

Answer 1

是的,它支持此流程的SSO.

我们有2个申请A和B.

• 用户想要访问应用程序A.
• 他被重定向到身份profider(idp)
• 他用他的凭据登录.
• idp发出OAUTH令牌和cookie
• 客户端现在将oauth令牌添加到app A的请求中并获得授权.
• 当客户想要访问应用程序B时,他再次被重定向到idp
• 在对idp的调用中,添加了idp在应用程序A的流程中返回的coockie.
• 因此,idp立即返回app B的令牌,客户端不必再次登录.
• 客户端gan现在使用新创建的令牌访问应用B.

希望这个例子可以让它更清晰.