OAuth 2.0是否涵盖代表另一个最终用户的最终用户行为?

时间:2015-05-14 09:39:58

标签: oauth-2.0 authorization oauth-provider

我的需求:

  • 让我们考虑同一个域的两个最终用户。
  • 用户UA是资源RA的资源所有者。
  • 用户UA希望将资源RA的访问权委托给最终用户UB。

我的主要OAuth 2.0兴趣来自总令牌控制(随时撤销等)。

OAuth 2.0 Framework允许客户代表资源所有者使用其明确的权限。

Oauth 2.0定义资源所有者客户端角色(see the roles section),其中:

  • 资源所有者可以是最终用户(可以授予对受保护资源的访问权限)。
  • 客户端是应用程序代表资源所有者发出受保护的资源请求。

在规范中,客户端始终被视为应用程序(没有特定的实现特征)。

我想知道是否可以使用最终用户作为客户端角色来实施OAuth 2.0,还是我完全滥用OAuth?

我的直觉是OAuth 2.0仅适用于第三方应用程序(具有互操作性),而不适用于同一域的2个最终用户。我对吗?另一方面,所有令牌机制都非常符合我的需求。

PS:此expired OAuth specification(2010)讨论了使用OAuth协议通过客户端将资源所有者的授权委托给其他用户。但它并不那么相关。

1 个答案:

答案 0 :(得分:0)

  

我想知道用OA实现OAuth 2.0是否可以   最终用户作为客户角色还是我完全滥用OAuth?

嗯,这只是我的意见,但如果说Buffer可以代表我使用OAuth将我的内容发布到Facebook,为什么我的朋友杰克(一个人,而不是机器人)可以'吨?

当然,你必须全神贯注,特别是在安全方面。但抽象方案看起来很好。

相关问题
最新问题