我想通过OpenID Connect对用户进行Firebase身份验证身份验证.换一种说法:
文档没有提到这种可能性,所以我明白这是不可能的.
然而:
使用Firebase Auth实现我自己的IDP似乎是一种矫枉过正,特别是它可能已经可用.
有人提示吗?
让我们举一个例子,我们有一个 SPA 使用 OIDC 隐式流访问 API。
由于 OAuth 范围是粗粒度的,因此通常需要在资源服务器上执行额外的授权。例如,当通过端点访问动态资源(例如文件系统)时,可能会出现这种情况 - 其中访问受到与 userId 绑定的权限的限制,但由于资源的动态性质,仅使用 OAuth 范围是不切实际的。
在这些情况下,端点本身可以受到 OAuth 范围的保护,同时将根据 userId 授予对端点所操作的资源(例如文件)的访问权限。因此,用户的身份必须在 API 请求中安全地发送。
一个显而易见的选择是发送身份验证时获得的 ID 令牌以及同时获得的访问令牌。
有一种在 HTTP 请求中发送访问令牌(授权标头)的标准方法,但是有用于 ID 令牌的标准方法吗?或者我应该编写一个像“X-Identity”这样的标头名称?
到目前为止,所有教程都告诉我,我需要在我的服务器上启用SSL以获得HTTP/2支持.
在给定的场景中,我们在后端Tomcat/Jetty服务器前面有nginx,尽管性能方面值得在后端启用HTTP/2,但在那里使用HTTPS的要求似乎也是一种过度杀伤力.
安全性不需要HTTPS(仅暴露nginx),从操作角度来看有点麻烦 - 我们必须将证书添加到运行后端服务器的每个Docker容器中.
是不是有办法提供HTTP/2支持(或至少类似的性能),并且设置较少涉及?