如何验证来自不同身份提供者的访问令牌

How to validate access tokens from different identity providers

我有 2 种不同的方式登录应用程序


End customer or external user will login into the application at enterprise gateway. This login is common for multiple applications and will use reverse proxy to load the requested app.

Developers will login into the application using application gateway.


最终用户已经通过身份验证,他将在请求中嵌入访问令牌。我们如何验证此访问令牌?令牌由企业级别的身份服务器生成。

内部用户将被重定向到登录页面。他将通过应用程序级别的身份服务器登录。

有没有办法,我可以在应用程序级别代理身份服务器来验证企业身份服务器生成的令牌。

对于企业用户,您可以让反向代理服务器设置特殊的header来指示请求来自最终用户。如果反向代理发送 JWT,您的应用程序可以在本地自检它。如果反向代理发送不透明 access_token,您的应用程序将不得不远程检查令牌。