我正在为下一个API设置OAuth 2。预期用途是允许其他软件与我们的API进行交互。我面临的问题是决定如何允许一个用户(管理员)通过批准应用程序来设置集成,但随后允许其他软件中的所有用户在我们的软件中执行操作,同时仍然跟踪正在执行的用户行动。我正在考虑使用标题或参数来表示用户执行操作。
您是否有任何类似于此设置或优化的示例,以便在不让每个用户设置OAuth的情况下跟踪用户和操作?
答案 0 :(得分:1)
如果您要将OAuth2服务器用作与权限委派相对的授权的用户权限存储(例如,当应用使用Google OAuth2访问令牌代表其用户执行操作时),您可能需要所有权限要包含在已颁发的访问令牌中的用户(不仅是启动了身份验证/授权过程的应用程序特别请求的用户)。如何配置它超出了OAuth2规范的范围,它特定于每个实现。
当某个应用程序调用您的API时,您应该在Authorization: Bearer accessTokenValue HTTP请求标头中获取访问令牌。您必须验证此令牌,提取其权限,您还可以获取有关为其颁发令牌的用户的信息。这可以在OAuth2内省端点执行。有关详细信息,请参阅
我不知道您希望如何跟踪用户操作,因此我希望上面的信息涵盖您的一些问题。