Oauth和范围及其正确使用

时间:2014-08-08 14:44:56

标签: angularjs security oauth scope owin

可能是我在这里遗漏了一些东西,但客户要求范围的重点是什么?

我的意思是当客户请求令牌时他/她可以说“我想要一切”,即读/写/删除/更新等。

实际上,用户可能只有读取权限。那么在范围内请求这些是什么意义呢?或者将这些纳入范围并不是一个好的做法/想法?如果没有,那么你真正用它做什么?

我在某些地方看到它用于电子邮件,用户名,而其他地方则用于回购:阅读,回购:写...

授权服务器是否会决定用户拥有哪些权限?

谢谢

1 个答案:

答案 0 :(得分:1)

我不确定我是否完全理解你的问题但是这里有。在典型的OAuth场景中,有:

  • OAuth提供商 - 拥有受保护资源,向资源(例如Google)发出访问令牌
  • 最终用户 - 资源所有者(例如Google用户)
  • 中继方 - 代表最终用户使用OAuth从提供商访问受保护资源(例如,某些与您的Google个人资料相关的随机应用)

当您使用中继方的应用程序时,它需要从OAuth提供商处获取您的信息。大多数提供商具有访问最终用户信息的不同级别或“范围” - 通常不是全部或全部访问。中继方必须定义访问范围,并询问OAuth提供商,提供商向最终用户提供访问请求的范围,最后最终用户可以决定是否授予中继方该访问范围或拒绝访问。

因此,如果没有范围,中继方如何请求粒度级别的访问?