我有一个提供一些端点的葡萄API,以及处理授权的门卫。默认情况下,门卫启用授权代码授予以及客户端凭据授予。所以我只能用这两个拨款请求访问令牌。
我想知道门卫是否有办法限制或至少获得用于请求提供的访问令牌的授权类型?
例如,如果有人请求具有授权代码授权的令牌,当他在API上请求资源时,我想知道他使用授权代码授权来获取他的令牌。然后,如果给定令牌是否来自授权代码授权,我可以检查每个请求,并提供或不提供资源。
我知道有应用程序的范围来处理特定授权,但我想知道是否有解决此问题的方法。这可能不是一个合法的问题,我可能会遗漏OAuth规范中的内容,所以欢迎所有评论!
答案 0 :(得分:1)
客户端凭据流发出的访问令牌不与任何资源所有者相关联。因此,在您的用例中,您可以通过检查访问令牌是否与资源所有者相关联来判断授权码流或客户端凭据流是否已发出访问令牌。