我们正在使用OAuth2评估WSO2IS作为许多公司应用(网络/移动)的身份服务器。
对于网络应用程序(服务器端),我们使用授权类型密码和用户凭据以及clientId / Key per 网络应用程序,每个人工作正常,Oauth2在这种情况下不会询问用户同意。
但是对于JS Apps和移动设备,我们需要切换到隐式授权类型,因为无法安全地存储clientKey。 在隐式授权类型方案中,会询问用户同意,但我不知道为什么我们在一个 在企业环境中,要求用户同意访问用户公司资料是很奇怪的。
是否有解决方法来禁用用户同意?
在identity.xml中,我看到有一个:
<OAuth2ConsentPage>${carbon.protocol}://${carbon.host}:${carbon.management.port}/authenticationendpoint/oauth2_authz.do</OAuth2ConsentPage>
但是将此参数保留为空或其他内容不起作用,这可能在oauth2应用程序端点中进行了硬编码。
如果您有解决方案,请告诉我 的问候,
答案 0 :(得分:1)
尝试在identity.xml中将SkipUserConsent设置为false
<SkipUserConsent>false</SkipUserConsent>