据我了解,在应用程序A获得了承载令牌之后,它可以与客户端B共享它。但是如果客户端A希望与委托给它的那些权限集合减少共享令牌,那该怎么办呢?
例如:我有托管统计信息的服务器(让我们称之为S),它有OAuth2 API。还有报告服务器(让我们称之为R)。
客户端(C)登录S并使用统计信息进行一些操作。 C只能与他拥有的统计信息进行交互。 C还想查看R的报告: C - 获取报告 - > R - 获取统计信息 - > S - 统计 - > R - 报告 - > ç
我正在寻找一种方法,以对最终用户透明的方式将减少的权限集委托给服务器R(无需额外的用户名和密码或/和确认请求)。
这是否符合OpenID概念,或者我应该在OAuth2的顶部实现我自己的协议?也许有其他解决方案?