アプリからブラウザーに移動するときにセッションを維持するための推奨戦略は？

Question

ネイティブモバイルアプリケーションとWebアプリケーションの認証を提供するSSOアプリケーションがあります。アカウント管理など、Webアプリケーションにはモバイルアプリケーションにはない機能がいくつかあります。アプリからWebブラウザーにユーザーをリダイレクトするときに、ユーザーを（再度サインインすることなく）ログインしたままにします。たとえば、ネイティブアプリケーションの設定ボタンをクリックします。

モバイルアプリケーションのセッションをWebブラウザに運ぶための推奨されるアプローチは何ですか？

いくつかの明確化するポイント：

RFC 6749で説明されているように、ネイティブモバイルアプリケーションは resource-ownerフローを介して認証します
Webアプリケーションは、標準の共有Web UIを介して認証します

Kamil Janowski · Answer

私の知る限り、この種の状況を処理する標準的な方法はありません。ただし、バックエンドコードにアクセスできる場合（ほとんどの市販の認証ソリューションでは、サーバーの機能を拡張するサーバーレス機能を提供できます）、OAuth2 Authorization Code Grantに似たものを実装できます。

認証されたアプリケーションが認証サーバーにコードを要求する（1回限りのコードで、あと2分間だけ有効）
URL内のそのコードとともにWebサイトを開始します
Webアプリケーションは、認証トークン（JWTまたは使用しているものなど）のコードを交換するために認証サーバーに接続します。

BenCr · Answer

ユーザーがssoプロバイダーにサインインしたばかりの場合、まだアクティブなセッションを持っている可能性があります。

以前にOIDCを使用したことがある場合、ユーザーにアクティブなセッションがあり、Webアプリケーションが同じクライアントIDを使用し、新しいスコープを要求しないとすると、認証サービスはユーザーをアプリにリダイレクトします。トークン。

ユーザーがSSOプロバイダー上でアクティブなセッションを持っていない場合は、とにかくもう一度認証することは理にかなっているかもしれませんが、適切なログインセッションなしに誰も私の設定を変更できないようにしたいと思います。