- Пользователь получает доступ к клиенту приложения
- Клиент приложения перенаправляет пользователя на сервер авторизации (через пользовательский агент / браузер)
- Пользователь вводит свои учетные данные (логин / пароль)
- Сервер авторизации подтверждает учетные данные и отправляет код авторизации (в случае предоставления кода авторизации) или токен доступа (в случае неявного предоставления) в URI перенаправления (в моем случае настраиваемая схема Android, указывающая на мое приложение). ...
(другие шаги, связанные с обменом токенами или этапами использования токена доступа, опущены)
Как и когда клиент приложения получает информацию о пользователе, который предоставил свои учетные данные (например, идентификатор или имя пользователя) ??
Я использую безопасный проект OAuth API (https://github.com/OAuth-Apis/apis) для моего сервера авторизации и сервера ресурсов / API, сгенерированного генератором кода Swagger.
С запросами и ответами токенов все в порядке, а сервер авторизации сохраняет ключи доступа с информацией о штрафе аутентифицированных участников. Также есть конечная точка для получения этой информации о субъекте: / tokenInfo, но эта конечная точка предназначена для использования Resource Server (требуются учетные данные Resource Server).
Итак, моя проблема связана только с клиентом приложения для получения информации о пользователе .... Я могу создать конечную точку в своем api только для получения информации о пользователе / принципале на основе указанного маркера доступа и конечной точки / tokenInfo и вернуться к клиенту приложения , но это странно .... Думаю, для этого есть стандарт ...
Кто-нибудь может мне помочь?