サードパーティユーザーのためのAPIの保護
私の問題への回答を検索するために適切な言語を見つけるのに問題があるので、うまくいけばここでそれを説明できます。
サードパーティがアクセスするAPIを作成しようとしています。このサードパーティは、未知のシステムを使用してユーザーを認証します(auth0やOktaなどを使用しています)。彼らのウェブアプリケーションは、ユーザーに代わってAPIにリクエストを送信します。これらのリクエストが特定のサードパーティの認証済みユーザーからのものであることを確認する必要がありますが、サードパーティのユーザーを追跡する必要はありません。個々のユーザーに関連するクレームを含むトークンを持つためにこれらのリクエストが必要ですが、これらのクレームを処理するのはサードパーティに任されます。
ここで私が説明していることは可能ですか?私はフェデレーテッドSSOについて読んでいますが、私たちが抱えている問題を解決するようには思えません。
リクエストを承認する安全な方法を探しているようですserver-to-server。サードパーティが認証を処理するので、サードパーティからのリクエストを確認するだけです。
JSON Web Tokens(JWT)を使用するのはどうですか?それらは暗号化して機密性を提供できますが、公開データと秘密キーのペアを使用してデジタル署名も行い、整合性と認証性の間で送信されるデータを保証しますAPIとサードパーティ。