OAuth2認証のフローを設計する

Question

私は親子関係のための適切なOAuth2認証フローを考え出しています。
App-AとApp-Bは2つの独立したアプリケーションです。 App-Aは、App-AからリンクをクリックしたときにiframeにApp-Bを開きます。

私はApp-Bを維持する責任があります。
から来るユーザをApp-Bが認識し、両方のアプリケーションで同じセッションを維持できるように、フローをどのように設計できますか？

これは私がこれまでに出ている流れです：

1. App-Aは、相互作用する前にApp-BにクライアントIDと秘密鍵を提供します。

2. GET /personエンドポイントのユーザーは、parentIdでリクエストします。

3. App-Bその後、クライアントID、秘密鍵とGET /personなどredirect-urlセットでApp-Aサーバに要求を送信します。

今App-Aが認証されたユーザーのセッション情報を渡すためにApp-Bに送信されますどのような。流れが意味をなさない場合

、あなたはそれを取り除くことができ

Answer 1

あなたの問題は、複数のアプリケーションでセッションを維持するために類似しています。

ここ

秘密あなたは、フロントエンドからの要求やクライアントIDを公開する（現在のユーザセッションを維持）AppAのにはいくつかの 方法を作る必要がある、あなたのアプローチ/での問題は、あなたがそれを達成することができ、いくつかのアイデアがあり、

両方のアプリケーションが同じ親ドメインに属していますか？そうであれば、

同様

appA.domain.comとその後appB.domain.com そして、認証が成功した後、あなたは親ドメインにいくつかのセッション識別子クッキーを設定することができます*。.. domain.com appBからアクセストークンを取得できる現在のユーザーセッションを取得することができます。その後、

両方のアプリケーションが別のドメインにある場合は、

あなたは、一般的にセッションを維持するいくつかの一般的な認証サーバーを持っている必要がありますので、APPA負荷なしのセッションが利用可能見つけ、それは、共通の認証にリダイレクトすることができますサーバーは、セッションをチェックして（ユーザーのログインを許可しない場合）、次にデータをappAに返します。

appBの場合と同じ流れです。

また、このリンク http://merbist.com/2012/04/04/building-and-implementing-a-single-sign-on-solution/

をチェック