在OAuth2中,授权服务器通常会向用户显示一个同意页面,询问他们是否希望客户端应用程序访问其信息。例如,如果某个网站配置为通过OAuth 2登录Google,我会看到一个类似的屏幕
Client application X is trying to access the following personal information:
email
login_name
friends list
Do you consent?
但是同意页面不是OAuth 2 specification的一部分。是否有任何RFC或其他规范概述或试图标准化同意页面?
答案 0 :(得分:0)
简而言之,不,没有详细说明用户同意页面的规范。但是,RFC 6819 (OAuth 2.0 Threat Model and Security Considerations)讨论了使用同意页面。它没有概述关于页面上的内容等的任何规范......但是它鼓励使用这样的页面以便在使用OAuth 2时减轻漏洞。例如,请参阅here。添加同意页面可以帮助最大限度地减少漏洞,但不一定能阻止它们。这是一个邪恶的用户需要绕过的另一件事。关于同意页面的回忆是用户应该始终知道客户端应用程序请求的资源(也称范围)。拥有同意页面将确保用户明确知道客户端想要访问哪些范围。如果没有它,客户端应用程序可能会在他们不知情的情RFC 6819可以概述为什么应该使用同意页面的几个原因。