服务端接入¶
接入基地址¶
https://api.openasa.com
必需的服务端元数据¶
client_id- 受信任的
redirect_uri列表 - 允许的 scopes
- 后端自己的 token 处理策略
- 以稳定 OpenASA subject 为主键的本地用户映射策略
Provider 侧合同¶
在公共接入层面,可将 OpenASA 视为暴露了 oauth agreement 定义的 Provider 侧能力:
authorizetokenuserinfojwksrevoke
服务端要求¶
- 运行时使用的
redirect_uri必须与注册信息完全一致。 - 授权码换 token 只能在可信后端执行。
- token 校验应基于 OpenASA 发出的 subject、token 元数据,以及需要时的 JWKS 校验。
- 本地会话必须建立在 OpenASA 身份结果之上,而不是只依赖回调参数。
安全检查清单¶
- 任何 client secret 或后端凭据都应放在安全配置管理中,不写入代码仓库。
- 回调处理域名只允许你自己的可信业务域名。
- 测试与生产环境均使用 HTTPS。
- 将 OpenASA 的
sub作为外部身份锚点,业务权限模型仍由你自己的服务维护。