我正在为应用程序构建基于微服务的 REST API 和本机 SPA Web 前端。API 应该使用 OAuth2.0 进行保护,以便将来允许其他客户端使用。它应该理想地使用授权代码流和代码交换证明密钥 (PKCE)
据我了解,我需要运行自己的 OAuth 身份验证服务器来管理 API 客户端和生成访问令牌等。此外,我需要自己的身份验证/IAM 服务,它自己的前端用于用户登录和客户端授权授予。该服务是最终根据后端检查用户登录凭据的地方。最后一部分应该是灵活的,后端可能是某些私有云部署中的 LDAP 服务器。
这些组件(Auth Server 和 IAM 服务)不在 OAuth 范围内,但如果我错了,请纠正我,如果我为自己的用户运行自己的 API,则需要这些组件。
然而,除了涉及明显的安全风险之外,我自己创建这些服务似乎比我想象的要多。
我阅读了有关 auth0 和 okta 的信息,但我不确定它们是否适合我的用例,该应用程序可能部署在私有云中。我还考虑过按 ory 运行 Hydra(OAuth 服务器)和 Kratos(IAM),但我不确定这是否会给我的项目添加太多依赖项。
难道没有一种简单的方法来保护使用 OAuth 的 API 来处理 Auth 服务器和适合小型项目的 IAM 吗?!