我正在尝试在我们的API中实现oauth2而不是基本身份验证。
我已经构建了一个身份验证服务器并实现了一个访问令牌 API#1和API服务器#2中的验证。
所以我的问题是,oauth2如何使用多个API?
目前我可以通过一个access_token访问所有API,但我想这不应该......,或者我误解了什么?
我不确定scopes参数,这更像是一个权限,并没有指定应该发出哪个api的访问令牌。
答案 0 :(得分:3)
假设您使用单个授权服务器,则范围概念允许您处理:您可以为每个API定义一个范围,并让客户端请求一个或两个范围。发布与多个范围相关联的访问令牌(即您的案例中的API)是完全有效且实用的OAuth 2.0。
访问令牌是基于每个客户端发布的,因此向同一客户端分发不同的访问令牌并不会为您带来任何安全优势,除非这两个API由不同的实体控制。在任何情况下,客户都必须改变它的请求方式,这将使用范围再次完成。