我们设计了一个工作流程,使第三方系统(1)能够使用我们的(2)系统,而无需额外的身份验证,如下所示:
这里是描述:
第三方客户端应用程序(网络)要启动我们的应用程序。它向自己的后端请求令牌。
第三方后端生成一个JWT,该JWT具有与当前用户相关的随机令牌值
第三方后端通过特定的API将JWT发送到我们的系统
注册后,JWT被发送回第三方客户端应用程序(Web)
第三方应用通过JWT启动我们的客户端应用(Web)
我们的应用程序通过使用注册的JWT调用我们的后端API
问题如下:
我们设计了一种工作流程,使第三方系统(1)能够使用我们的(2)而不需要额外的身份验证,如下所示:这是说明:第三方客户端应用程序(web)...
IANA Token Claims registry应该是标准JWT声明的来源。如果您的列表未列出-可以是任何东西,但您可能希望通过使用其他命名空间来最大程度地减少潜在冲突。
UPD