Cómo compartir el estado de inicio de sesión entre múltiples clientes de IdentityServer4?
Digamos que tienes un IdentityServer4 que utilizamos para iniciar sesión en alrededor de 10 aplicaciones SPA.
Todas ellas inician sesión con su propio “cliente” de IdentityServer4 técnicamente. Sin embargo, todos los clientes apuntan a la misma base de datos de lógica empresarial de usuarios para comprobar las credenciales (el mismo servidor en el punto final de inicio de sesión del controlador de cuenta). También utilizan el mismo flujo, ya que todas son aplicaciones SPA.
Para los usuarios finales, esto resulta molesto y esperan poder iniciar sesión en un solo cliente y automáticamente iniciar sesión en los demás.
Entiendo que el truco de hacer que todos los clientes se vean como el mismo cliente funcionará. Pero no es bueno ni para el análisis de qué cliente se está utilizando ni para la seguridad.
¿Alguien tiene alguna solución de ejemplo segura y fácil de usar?
davy.ai
Una solución a este problema es implementar un enfoque de Inicio de Sesión Único (SSO, por sus siglas en inglés). Con SSO, los usuarios solo tienen que autenticarse una vez y luego se les concede acceso a múltiples aplicaciones sin tener que iniciar sesión nuevamente. Este enfoque se puede implementar utilizando OpenID Connect y OAuth 2.0.
En este escenario, IdentityServer4 actuará como la autoridad central para la autenticación y autorización. Cada una de las aplicaciones SPA se registrará en IdentityServer4 como un cliente, pero todas compartirán la misma base de datos de credenciales de usuario.
Cuando un usuario inicie sesión en una de las aplicaciones SPA, será redirigido a IdentityServer4 para la autenticación. Una vez autenticado, IdentityServer4 generará un token que se puede utilizar para autenticar al usuario en todas las demás aplicaciones SPA registradas en IdentityServer4. El token contendrá información sobre el usuario, sus permisos y su estado de autenticación.
Para implementar SSO con IdentityServer4 y múltiples clientes, se pueden seguir los siguientes pasos:
Registrar cada aplicación SPA como un cliente en IdentityServer4, especificando los URI de redirección adecuados.
Implementar OpenID Connect/OAuth 2.0 en cada una de las aplicaciones SPA, permitiéndoles comunicarse con IdentityServer4.
Antes de permitir el acceso a recursos protegidos, cada aplicación SPA debe validar el token recibido de IdentityServer4.
Para una experiencia de usuario fluida, considerar implementar un mecanismo de renovación de token para asegurarse de que los usuarios sigan autenticados en múltiples aplicaciones SPA.
Con una solución de SSO bien diseñada, los usuarios solo tendrán que iniciar sesión una vez y se les concederá acceso a múltiples aplicaciones sin tener que autenticarse nuevamente. Esto no solo mejora la experiencia del usuario, sino que también mejora la seguridad al centralizar la autenticación y autorización.