查看一些现有的实现,我已经在OAuth API中看到了两种方法来解决范围。一种方法是在注册时将权限与应用程序相关联。另一种方法是在运行时将它们与请求令牌一起传递。流行的主题是 OAuth权限与应用程序相关联。
相反,在我认为传统范例的情况下,权限可以与用户 相关联。想法是,如果UserA和UserB具有不同的访问级别,则UserB可以被授予对UserA可能不具有的功能的访问权。
我的问题是后者通常是如何在OAuth范例内实现的?由于权限似乎通常与应用程序而不是用户相关联,因此我想知道如何处理用户级权限。
答案 0 :(得分:0)
根据我们的移动开发者的说法,它非常像传统的范例。服务器在每个用户上包含某种类型的 role 属性,应用程序可以使用该属性有条件地公开功能。