我们有一个具有前端UI(这是一个Web应用程序)的应用程序,该UI与资源服务器进行通信。我们的前端将使用资源服务器中的一些API来获取数据。
我正计划向Okta添加前端,并提供对okta注册用户的访问权限。
在资源服务器中,我们有一些API要向客户公开以集成到他们的系统中(以编程方式)。要使用我们的API,我们必须向它们提供客户端凭据(客户端ID /秘密)。使用clientId / Secret,他们将获得access_token并将在后续请求中使用它。用户通过Okta登录后,我们便可以通过前端UI显示此clientId / Secret。
我应该如何验证从前端到资源服务器的请求?以及如何使用clientId / Secret通过客户认证对资源服务器的请求?我是否应该为此目的使用一个或两个不同的令牌?
Okta是否提供每个用户的客户端ID /秘密,用户(客户)可以使用该ID /秘密来获取access_token并将其发送到访问资源服务器和针对Okta的资源服务器验证令牌。