Thinktecture IdentityServer v3,混合流程 - 是否可以通过有效身份验证但错误授权实现单点登录
Thinktecture IdentityServer v3, hybrid flow - is it possible to implement single sign-on with valid authentication but wrong authorization
我正在考虑在我的一个项目中使用 IdentityServer v3,但我想知道是否有可能使用混合流程实现这种单点登录场景:
开始时,用户尝试登录并获得一些作用域,但没有使用它的权限并收到某种错误消息。同时收到一个ID Token,因为用户名和密码有效。
然后 he/she 尝试登录以获得该用户允许的其他范围。在这种情况下,用户不必再次填写登录页面,因为上次提供了有效的名称和密码。
换句话说:是否可以使用具有有效身份验证和无效授权的 SSO,然后在第二次跳过身份验证过程(因为它在最后一次是有效的)并且只进行不正确的授权'需要任何最终用户交互吗?
认证和授权是不同的活动。 IdentityServer (IdS) 将对用户进行身份验证,但这取决于您的网站是否授权他们。
在您的 2 种情况下,如果 IdS 可以对用户进行身份验证,那么无论是否有任何授权,它都会这样做,因为一旦发生身份验证就会发生这种情况。
我正在考虑在我的一个项目中使用 IdentityServer v3,但我想知道是否有可能使用混合流程实现这种单点登录场景:
开始时,用户尝试登录并获得一些作用域,但没有使用它的权限并收到某种错误消息。同时收到一个ID Token,因为用户名和密码有效。
然后 he/she 尝试登录以获得该用户允许的其他范围。在这种情况下,用户不必再次填写登录页面,因为上次提供了有效的名称和密码。
换句话说:是否可以使用具有有效身份验证和无效授权的 SSO,然后在第二次跳过身份验证过程(因为它在最后一次是有效的)并且只进行不正确的授权'需要任何最终用户交互吗?
认证和授权是不同的活动。 IdentityServer (IdS) 将对用户进行身份验证,但这取决于您的网站是否授权他们。
在您的 2 种情况下,如果 IdS 可以对用户进行身份验证,那么无论是否有任何授权,它都会这样做,因为一旦发生身份验证就会发生这种情况。