如何验证来自不同身份提供者的访问令牌答案

【问题标题】：How to validate access tokens from different identity providers如何验证来自不同身份提供者的访问令牌
【发布时间】：2020-06-03 06:28:25
【问题描述】：

我有两种不同的登录方式

最终客户或外部用户将在企业网关登录应用程序。此登录对于多个应用程序是常见的，将使用反向代理加载请求的应用程序。

开发人员将使用应用程序网关登录到应用程序。

最终用户已经通过身份验证，他将在请求中嵌入访问令牌。我们如何验证这个访问令牌？令牌是由企业级的身份服务器生成的。

内部用户将被重定向到登录页面。他将通过应用程序级别的身份服务器登录。

有没有办法，我可以在应用程序级别代理身份服务器来验证企业身份服务器生成的令牌。

【问题讨论】：

【解决方案1】：

对于企业用户，您可以让反向代理服务器设置特殊标头以指示请求来自最终用户。如果反向代理发送 JWT，您的应用程序可以在本地对其进行自省。如果反向代理发送不透明的 access_token，您的应用程序将不得不远程自省令牌。

【讨论】：