无用户源是指的用户在登录自己系统时后端不会做验证,前端只需要进行校验。对于此类型的系统我们建议使用隐藏式模式进行集成,后端无需存储安全密钥,只需要在前端进行部分修改即可实现。
隐式模式适合不能安全存储密钥的场景(例如前端浏览器)。在隐式模式中,应用不需要使用 code 换 token,无需请求 /token 端点,AccessToken 和 IdToken 会直接从认证端点返回。
对于有自己的系统但是没有具备后端身份验证服务的客户在使用ASP进行单点登录时,可以采用下方描述模式进行集成:
说明:使用此方案大致分为6步:
- 拼接登录授权链接并引导用户点击
- 跳转ASP进行认证
- 在前端直接获取AccessToken 并存储以便于后续使用
- 访问资源时携带AccessToken
- 资源服务器与ASP验证成功返回资源
