问使用零信任和用户检查在服务之间传递OAuth令牌

EN

比方说，我们使用OAuth / OpenID连接(OIDC)流(在零信任的情况下)来保护两个API: ServiceA和ServiceB。为了实现ServiceA的某些功能，它依赖于服务B。ServiceA正在对最终用户的半衰期调用ServiceB。

在这种情况下，我们如何处理令牌：

• 最终用户不需要知道ServiceA正在使用ServiceB (实现隐藏)
• 最终用户从IDP获得一个令牌，这是两个Services都信任的
• 该服务由两个单独的团队在一个大型企业环境中开发，具有零信任。这意味着ServiceB (完全)不信任ServiceA。
• 最终用户将在IDP上进行身份验证，并将令牌传递给ServiceA。
• ServiceA用IDP验证令牌，IDP检查观众。

但现在最难的是：

• ServiceA想要调用ServiceB并让ServiceB知道(零信任)它是代表最终用户这么做的。
• ServiceA不能使用它从最终用户那里获得的令牌，因为它有ServiceA作为受众。ServiceB将无法验证该令牌。
• 我们可以在这两项服务中使用相同的受众(因为我们都是一家公司)。然而，在一个典型的企业环境中，您可以拥有数百个服务，并且您不希望将它们都放在同一个受众中。

https://stackoverflow.com/questions/39839881/is-it-ok-to-pass-on-oauth-access-token-between-services上也提出了类似的问题，但这忽略了象征性的受众。