我想知道是否可以在 IdentityServer 4 中实现模拟,以及如何实现。 在我的研究中没有发现任何有用的东西,而且通过阅读 github 上的 IdentityServer4 pulls 似乎目前不可行。甚至搜索 OpenID Connect 和 Oauth2 的“模拟”,但什么都没有…… 无论如何,有人知道该怎么做吗? 提前致谢
【问题讨论】:
标签: oauth-2.0 identityserver4 openid-connect
没有什么能阻止你自己实现它,但我认为除了通过声明表示模拟会话之外的任何东西都超出了协议的范围。
OIDC 本身不提供这方面的任何指导,但本规范草案提供:
https://datatracker.ietf.org/doc/html/draft-ietf-oauth-token-exchange-14#section-4.1
在我们的例子中,我们松散地遵循了这一点,并使用act 声明来存储与冒充者相关的声明,并使用amr 声明通过使用值imp 来指示是否使用了模拟。
关于谁可以模仿谁以及何时模仿的规则和流程完全取决于您。在我们的解决方案中,最终用户能够向特定用户授予模拟权限,但也可以通过客户控制的策略来锁定该设施。拥有有效模拟授权的用户可以在登录流程中获得额外的步骤,允许他们选择要模拟的用户。
【讨论】:
access_token“推送”到 Front-Channel 客户端 -以及用户当前使用的所有其他前端渠道客户端?