如果两个 API 使用不同的身份提供者，一个 API 将如何使用 oauth2 调用另一个 API？

Posted 2023-03-09

【中文标题】如果两个 API 使用不同的身份提供者，一个 API 将如何使用 oauth2 调用另一个 API？

【英文标题】：How would an API call another API with oauth2 if both APIs use different identity providers?

【发布时间】：2020-05-24 03:25:29

【问题描述】：

过去，我有 2 个 API，均使用 Azure AD 保护。第一个 API 将获取访问令牌并使用以下参数为第二个 API 请求另一个访问令牌：requested_token_use=on_behalf_of 信息来源：https://docs.microsoft.com/en-us/azure/active-directory/develop/v2-oauth2-on-behalf-of-flow

但是，这是因为这两个 API 都在 Azure AD 上。控制在同一目录中。

如果第一个 API 是 Azure AD，第二个是 auth0，那么在用户无法登录授权屏幕的情况下，第二个 API 如何获取访问令牌？

【参考方案1】：

在这种情况下，您可以使用Password Grant Flow 或Client Credentials Flow。 您可以在Microsoft 或Google 页面上阅读有关服务到服务身份验证的更多信息。

这是否为您提供了代表流程的一切？不。通过代表流程，您拥有两个系统的用户声明的令牌。通过这种方式，您可以使用服务 A 凭据访问服务 B，如果您拥有细粒度的每个用户权限，则需要在服务 A 中实现逻辑。