为WS- * SAML令牌交换OAuth2访问令牌（或OpenID Connect id_token）？

Question

是否可以为WS- * SAML令牌交换OAuth2访问令牌（或OpenID Connect id_token）？

这里是我们的具体情况，我们想完成：

1. 一个用户已经使用了开放ID连接端点验证，并出具了id_token。
2. 同一个用户已被授权使用OAuth 2端点并发布访问令牌。
3. 单页面应用程序（SPA）从受保护的ASP.NET Web API请求数据，并发送id_token和访问令牌。
4. 以下是问题/棘手的部分：我们希望ASP.NET Web API从使用WS- *保护的WCF服务中获取数据，因此WCF服务需要签名的SAML令牌。

是否可以为符合WS- *规范的SAML令牌交换OpenID Connect id_token和/或OAuth 2访问令牌？

我们想用ADFS的Windows Server 2016上，但我们也开放给其他安全令牌服务（STS），如天青ADFS等

Answer 1

看来，你可以实现接入令牌交换在您的OAuth服务器中，因为spec中没有任何内容严格禁止它。

OAuth没有明确规定您的访问令牌或刷新令牌的形状。因此，您可以使用WS- *或任何适合您的客户端/ RP所需的内容。

你可以使用这些类型的标记的：

• 的WS-Security令牌，特别是SAML令牌

• JWT令牌

• 定制令牌

id_token本身然而，。