我想知道OAuth中是否有办法限制用户在访问令牌后可以看到的数据。例如,在“照片共享”中示例,其中一个应用程序包含照片列表,另一个应用程序想要访问照片以进行打印。用户如何指示照片打印服务应该看到照片的子集?也许我只希望打印服务能够看到带有.jpg扩展名的照片,或者带有特定日期的照片,或带有某个标签的照片'。哪里可以填写额外的授权要求?
我有一个java应用程序,我们正在使用Spring Security OAuth2,希望我们能够实现这一目标。
由于
答案 0 :(得分:1)
例如,您可以使用'范围'为了这个目的。定义自定义'范围'并且服务的端点应该解释自定义范围并基于此行为。
例如,定义' pic_jpeg'作为范围名称并描述API文档中的范围,例如"' pic_jpeg'访问JPEG图片需要范围。"
客户端应用程序将使用参数&scope = pic_jpeg scopeX scopeY'访问您的授权终端,并且您的OAuth 2.0授权服务器实现将最终发出与作用域关联的访问令牌(pic_jpeg scopeX和scopeY)。然后客户端应用程序访问'图片'使用访问令牌的服务端点,因此端点应确认访问令牌与' pic_jpeg'范围并允许客户端应用程序仅在确认后才能访问JPEG图片。