我们正在尝试通过多个SaaS产品/ API对用户进行身份验证，我们需要一些帮助。

场景：

1. 最终用户拥有SaaS-1帐户。

2. 最终用户登录到SaaS-1，并（可能）执行将其重定向到我们的SaaS的操作（简称为SaaS-2）。该请求带有一个HMAC参数，我们可以使用密钥对其进行验证。

3. 我们的SaaS（SaaS-2）具有ReactJS前端（app.some-domain.com）和Spring Boot（Java）后端（api.some-domain.com）。

4. 我们想验证此HMAC，然后允许用户登录到我们的SaaS（SaaS-2）。然后，用户可以对我们的后端API进行进一步的身份验证请求（访问自己的私有数据等）。

对于用户直接登录我们的SaaS（SaaS-2），我们正在使用Auth0。我不知道在这种情况下可以使用Auth0的任何方式。

我知道不能将相同的HMAC再次用于对我们后端的这些后续API请求。我们如何验证这些请求是否合法地来自最终用户？

处理这种情况的最佳方法是什么？

解决方法

暂无找到可以解决该程序问题的有效方法，小编努力寻找整理中！

如果你已经找到好的解决方法，欢迎将解决方案带上本链接一起发送给小编。

小编邮箱:dio#foxmail.com (将#修改为@）