可能是我在这里遗漏了一些东西,但客户要求范围的重点是什么?
我的意思是当客户请求令牌时他/她可以说“我想要一切”,即读/写/删除/更新等。
实际上,用户可能只有读取权限。那么在范围内请求这些是什么意义呢?或者将这些纳入范围并不是一个好的做法/想法?如果没有,那么你真正用它做什么?
我在某些地方看到它用于电子邮件,用户名,而其他地方则用于回购:阅读,回购:写...
授权服务器是否会决定用户拥有哪些权限?
谢谢
答案 0 :(得分:1)
我不确定我是否完全理解你的问题但是这里有。在典型的OAuth场景中,有:
当您使用中继方的应用程序时,它需要从OAuth提供商处获取您的信息。大多数提供商具有访问最终用户信息的不同级别或“范围” - 通常不是全部或全部访问。中继方必须定义访问范围,并询问OAuth提供商,提供商向最终用户提供访问请求的范围,最后最终用户可以决定是否授予中继方该访问范围或拒绝访问。
因此,如果没有范围,中继方如何请求粒度级别的访问?