禁用oauth2隐式授权类型中的同意

时间:2016-09-26 14:37:55

标签: oauth-2.0 wso2is

我们正在使用OAuth2评估WSO2IS作为许多公司应用(网络/移动)的身份服务器。

对于网络应用程序(服务器端),我们使用授权类型密码和用户凭据以及clientId / Key per 网络应用程序,每个人工作正常,Oauth2在这种情况下不会询问用户同意。

但是对于JS Apps和移动设备,我们需要切换到隐式授权类型,因为无法安全地存储clientKey。 在隐式授权类型方案中,会询问用户同意,但我不知道为什么我们在一个 在企业环境中,要求用户同意访问用户公司资料是很奇怪的。

是否有解决方法来禁用用户同意?

在identity.xml中,我看到有一个:

<OAuth2ConsentPage>${carbon.protocol}://${carbon.host}:${carbon.management.port}/authenticationendpoint/oauth2_authz.do</OAuth2ConsentPage>

但是将此参数保留为空或其他内容不起作用,这可能在oauth2应用程序端点中进行了硬编码。

如果您有解决方案,请告诉我 的问候,

1 个答案:

答案 0 :(得分:1)

尝试在identity.xml中将SkipUserConsent设置为false

<SkipUserConsent>false</SkipUserConsent>