基于OAuth的安全令牌服务-Cors

我尝试了微服务架构和OAuth身份验证。现在,我需要您的建议如何正确地做事。

我有一项服务WebService,它是用户在其中做某事的Web门户。它是Web API,我想使用Jwt令牌进行身份验证。我也有TokenService服务,这是另一个单独的Web应用程序,具有发布访问令牌的作用。因此,它基本上是安全令牌服务。 我正在使用OAuth验证用户身份。

我的问题是,当用户打开WebService时,我向API发出了JS提取请求,该请求将用户重定向到我的TokenService,后者将用户重定向到Google身份验证表单。 但实际上,由于CORS政策,最后一次重定向到Google OAuth表单失败。

我在哪里做错了? 也许Google OAuth应用程序具有将我的WebService客户端添加到CORS白名单的设置。 还是应该重新设计身份验证流程?

评论