OAuth 2服务器将范围与用户关联?

时间:2015-01-06 13:28:47

标签: oauth-2.0 authorization oauth2-server

构建OAuth 2服务器时,将范围与用户关联有什么问题吗?基本上允许范围充当您的应用程序角色?

我查看了RFC,但似乎无法找到相关指导。

流程的用例如下:

                   A client requests an access token.
                                  |
                                  ↓
             On the server side: it checks to see if the user 
                 is able to receive the requested scope(s). 
                       ⁄                              \
                     ↙                                 ↘
               Check Passes:                       Check Fails:
                     |                                 |
                     ↓                                 ↓
           Server issues token.           Server denies request for token.

更多可视化上下文,这是一个SQL数据表示:

enter image description here

1 个答案:

答案 0 :(得分:2)

范围的定义超出了OAuth 2.0规范本身的范围(!)。通常,范围代表应用程序权限或角色确实基于授权服务器,资源服务器和可能的客户端之间的共享理解。您所描述的是大多数OAuth 2.0授权的常见用例,例如授权代码授权,其中应用程序(客户端)将代表用户执行,继承用户授予应用程序的(可选有限的)权限集,都在用户自己拥有的权力范围内。

相关问题
最新问题