微服务OAuth2/OpenID连接流

我正在使用微服务架构构建一个新的应用程序平台，但我已经阅读了很多关于使用不同类型的身份验证/授权的文章

我接受OAuth2/OpenID连接，但只是为了确保我的假设是正确的

我想知道我的流程是否适合处理我的应用程序的身份验证/授权。 其次，对于我信任的应用程序，我如何防止OAuth请求用户同意

---

在协议/标准方面，对于您描述的系统，使用OAuth 2.0和OpenID Connect是正确的决定。它们正在积极使用，有大量的库和第三方提供商支持，而且它们的设计也考虑到了当今系统对HTTP的严重依赖

就为每个应用程序选择正确的流而言，决策不受被视为第三方或受信任应用程序的应用程序的影响；更多的是关于应用程序的部署特性，以及应用程序是否希望代表最终用户或应用程序本身访问资源

查看此决策过程的详细说明。

第三方应用程序和受信任应用程序之间的区别由身份提供者/授权服务器决定。这通常是支持的，因此如果应用程序是可信的，则不会明确要求最终用户同意；在这些情况下，将应用程序标记为跳过最终用户同意被视为一个管理步骤，其中有人单方面和管理性地决定同意被授予该应用程序，因此没有必要要求最终用户同意

如果您确实决定支持某些应用程序的管理许可，请记住，如果这些应用程序的特征不允许它们成为机密客户端（支持安全机制来验证客户端应用程序本身）或者使用其他方法确保客户端身份，则恶意应用程序可能会试图伪造受信任的应用程序，以跳过用户同意步骤