Me pidieron que permitiera que los usuarios de un socio se autentiquen en nuestro backoffice simplemente haciendo clic en un enlace en su backoffice. La única información común que tenemos es el correo de estos usuarios.
No veo cómo puedo implementar esto de forma segura. ¿Alguna idea?
Parece que OAuth2 es el camino a seguir. Después de un poco de lectura, supongo que el flujo debe ser como
- dar un token de acceso al backoffice del socio a través de credenciales de cliente subvención
- haga que utilicen este token llamando a un punto final que devolverá un enlace dado el correo del usuario como parámetro
El enlace contendrá un token de uso único que se utilizará para autenticar al usuario.
Teniendo en cuenta que todas las llamadas usan HTTPS, creo que esto sería seguro?