我正在为多租户应用程序设计一个REST API。我想保护API。多租户应用程序可以由一个租户订阅,而租户又可以有多个用户使用该应用程序。
我计划使用OAuth。一种可能性是使用OAuth的客户端凭据流——其中将客户端Id和密钥提供给订阅该服务的每个租户。
这种方法的问题是,我无法区分租户的不同用户,因为每个人都使用相同的客户端Id和密钥来获取访问令牌。
另一个选择是使用OAuth的授权令牌流。但在这种情况下,我不确定应该如何交互,因为它是API(非ui)。
进一步,如何用SAML解决这种用例?
不能。SAML规范没有办法将SAML令牌传递给API。
如果需要用户上下文,则需要使用授权授予流。通过身份验证后,请求为该API(作用域等)量身定制的JWT,然后将该JWT发送到API。