我在我的项目上使用oauth服务器构建API以进行授权(我已经https://github.com/bshaffer/oauth2-server-php)了。 用户可以编写自己的应用程序,并通过iframe将它们集成到我的项目中。
我对API用户有两种权限:
可直接通过appllication调用的API方法(grant type = client_credentials)
当用户授权访问应用程序的数据时,应用程序代表当前用户调用API方法(grant type = authorization_code)
因此我的项目中会有两种类型的访问令牌,如何在这段时间内检测出哪些类型的令牌用户使用并允许或限制他的行为?
p / s / Sorr英语不佳以及文中可能出现的错误。
答案 0 :(得分:0)
因此我的项目会有两种类型的访问令牌,我该怎么做 检测此时使用的令牌用户类型并允许或 限制他的行为?
访问令牌的格式不是OAuth规范的一部分。您可以选择JWT访问令牌格式。因此,对于代表用户发出的访问令牌,您可以在访问令牌中使用用户名或电子邮件作为声明。因此,当在资源服务器(您的API)上验证它时,您可以在访问令牌有效负载中查找此声明的存在。