2
我正在寻找能够解决SSO难题的配件。如何验证资源服务器上的WSO2 oauth2访问令牌
目前我们在WSO2身份提供者背后有一个OpenLDAP。客户端(服务提供商)将授权重定向到IP(OAuth2)并接收access_token。
一切都好。
下一步是在另一个服务提供者上验证这个令牌,在这种情况下是一个反向代理(Apache或Nginx)驻留在另一个EC2实例上,它保护许多不受保护的第三方应用程序(第三方,不能触摸源代码,但是要托管我们自己)。哪些工具可以满足这一要求?
我意识到OAuth2规范在这里留下了一个缺陷,并且有草案增加了一个/introspect调用来验证此令牌。我也知道pingidentity作为Apache模块的一部分实现了这个草案(https://github.com/pingidentity/mod_auth_openidc)。
我只是想知道如何在WSO2-IS方面实现这一点,因为我没有找到文档。
*奖金:我们在部署WSO2(SQL错误)和使用它(https://wso2.org/jira/browse/IDENTITY-3009)时也遇到了几个错误,这使我们对产品有点不信任。