我对OAuth很陌生并且正在寻找用户拥有多个项目配置文件的服务的想法。我希望用户能够授权访问一个项目配置文件中的某些信息,而不能访问其他项目。因此,可以显示一个配置文件列表,而不仅仅是授权视图中的文本范围列表,在这些列表中,他们可以选择要共享访问权限的配置文件?这些信息可以传回客户端应用程序吗?
类似的类比可能是客户端应用程序可以被允许对单个GitHub组织的详细访问,但不允许用户所属的任何其他组织。
答案 0 :(得分:0)
3.3. Access Token Scope中RFC 6749的第三段说明如下。
授权服务器可以完全或部分忽略范围 客户端请求,基于授权服务器策略或 资源所有者的说明。如果发出访问令牌范围 与客户要求的授权不同 服务器必须包含“范围”响应参数来通知 授予实际范围的客户。
因此,授权服务器实现可以使资源所有者能够选择范围。此外,当实际授予的作用域与客户端应用程序最初请求的作用域不同时,您可以期望object参数与访问令牌一起返回。