我的网站有几个子域名:
对于#2-3,我想将用户重定向到auth提供者域以登录并将JWT返回给客户端。关于安全和习惯用法我有几个问题:
我想限制令牌的范围,我在网上看到这是基于令牌的身份验证的标准。我的问题是:调用者请求范围列表是否习惯且安全,而auth提供者只返回它?它不像第三方OAUTH,auth提供商询问用户。我想这一切都是默默地发生的。我认为它比不使用范围更安全,因为如果理论上令牌被泄露,那么至少它的可用性是有限的。
与问题#1类似,调用者请求过期日期以及供应商遵守该请求是否习惯且安全?另一种选择是提供者做出自己的决定。
答案 0 :(得分:1)
OAuth 2.0是您正在寻找的;不涉及用户时授予的范围取决于授权服务器上的实现;例如如果你使用"客户端凭证"授予,客户端必须预先在授权服务器上注册,并且允许的范围可以注册为其中的一部分
规范中未定义如何以标准化方式执行此操作;提供商做出自己的决定,并且这可能是预先注册的客户的配置设置的一部分;还有一个替代方案:一些OAuth 2.0流程(不是客户端凭证)也可以选择返回刷新令牌,可以通过请求新令牌来延长访问的到期时间;限制访问的到期时间如果授权服务器支持RFC 7009