可信客户端OAuth令牌创建?

时间:2014-12-30 00:31:13

标签: authentication oauth oauth-2.0 authorization soa

TL:DR;

我的VPC中有一个受信任的应用程序,我想允许:

POST /oauth/authorize? user_id=U_123, client_id=xyz, client_secret=abdfd允许在假设客户端机密是秘密的情况下无限制地访问任何用户的数据。那有优先权吗?


我一直在实施面向服务的体系结构,其中一个我对应用程序身份验证和授权不太自信的部分。

我们有一个主API的内部应用程序,我们已使用客户端凭据(id,secret)和用户ID为受信任的OAuth列入白名单:

POST /oauth/authorize? user_id=U_123, client_id=xyz, client_secret=abdfd

基本上,这使得可以为没有密码的给定用户生成oauth令牌,并且不显示授权页面。

通过在混合中包含用户标识符,这允许用户特定的令牌,并为我们提供了为单个用户无效令牌的选项。通过这种方式,我们不必使整个应用程序无效,因此可能不会降低安全级别。

可信客户端OAuth 2.0令牌创建是否有优先权?

1 个答案:

答案 0 :(得分:1)

您描述的用例符合OAuth 2.0规范中标准化的客户端凭据授权:https://tools.ietf.org/html/rfc6749#section-4.4

用户标识符可以有效地作为scope值传入,该值允许访问该用户的(资源所有者)资源。这就是规范将资源控制为“以前与授权服务器一起安排的另一个资源所有者的”。