构建OAuth 2服务器时,将范围与用户关联有什么问题吗?基本上允许范围充当您的应用程序角色?
我查看了RFC,但似乎无法找到相关指导。
流程的用例如下:
A client requests an access token.
|
↓
On the server side: it checks to see if the user
is able to receive the requested scope(s).
⁄ \
↙ ↘
Check Passes: Check Fails:
| |
↓ ↓
Server issues token. Server denies request for token.
更多可视化上下文,这是一个SQL数据表示:
答案 0 :(得分:2)
范围的定义超出了OAuth 2.0规范本身的范围(!)。通常,范围代表应用程序权限或角色确实基于授权服务器,资源服务器和可能的客户端之间的共享理解。您所描述的是大多数OAuth 2.0授权的常见用例,例如授权代码授权,其中应用程序(客户端)将代表用户执行,继承用户授予应用程序的(可选有限的)权限集,都在用户自己拥有的权力范围内。