Thinktecture IdentityServer v3,混合流——是否可能实现具有有效身份验证但错误授权的单点登录
本文关键字:身份验证 有效 错误 登录 单点 授权 实现 v3 IdentityServer 混合 是否 | 更新日期: 2023-09-27 18:07:07
我正在考虑在我的一个项目中使用IdentityServer v3,但我想知道是否有可能使用混合流实现这种单点登录场景:
-
开始时,用户试图登录并获得一些范围,但没有使用它的特权,并收到一些错误消息。同时收到一个ID Token,因为用户名和密码是有效的
-
然后他/她尝试登录以获得该用户允许的其他范围。在这种情况下,用户不必再次填写登录页面,因为上次提供了有效的名称和密码。
换句话说:是否有可能将SSO与有效的身份验证和无效的授权一起使用,然后在第二次跳过身份验证过程(因为上次是有效的),只执行不需要任何最终用户交互的授权?
认证&授权是不同的活动。IdentityServer (id)将对用户进行身份验证,但授权与否取决于您的站点。
在您的两个场景中,如果id可以对用户进行身份验证,那么它就会这样做,而不管是否有任何授权,因为一旦身份验证发生,就会发生这种情况。