我正在为我们的 SSO 拼图寻找配件。
目前我们在 WSO2 身份提供者后面有一个 OpenLDAP。客户端(服务提供者)将授权重定向到 IP(OAuth2)并接收 access_token。
一切都好。
下一步是在另一个服务提供商上验证这个令牌,在这种情况下,一个反向代理(Apache 或 Nginx)驻留在另一个 EC2 实例上,它保护了许多未受保护的第 3 方应用程序(我们无法触及的第 3 方)源代码,但我们自己托管)。哪些工具可以满足此要求?
我知道 OAuth2 规范在这里留下了一个中断,并且有一个草稿添加了一个/introspect调用来验证这个令牌。我也知道 pingidentity 将此草案作为 Apache 模块 ( https://github.com/pingidentity/mod_auth_openidc ) 的一部分来实现。
我只是想知道如何在 WSO2-IS 方面实现这一点,因为我没有找到文档。
*奖励:我们在部署 WSO2(SQL 错误)和使用它(https://wso2.org/jira/browse/IDENTITY-3009)时也遇到了几个错误,这让我们对产品有点不信任。