过去几天我一直在使用OAuth2,我相信我已经找到了它并且让我的代码运行得相当好。我觉得奇怪的是,WSO2不允许您使用client_id / client_secret授权OAuth2令牌内省。有没有理由不允许这样做?
我对OAuth2的理解是,您需要向授权服务器注册您的客户端(在WSO2下注册为服务提供商)。这使客户端能够使用服务器识别自己。租户用户有什么特别之处,还必须提供它来内省令牌?其他OAuth2系统没有此要求。
答案 0 :(得分:1)
我认为这是他们的设计决策之一。通过token introspection文档,我认为他们想要的是使内省独立于客户端。因此,任何知道最终用户凭证(驻留在租户中)的其他应用程序都可以内省该令牌以进行验证。我认为有这些需求的用例。
无论如何,RFC7662 - Token introspection并未要求实施使用客户端凭据。由实施者来决定选择方法。但是,它确实提到了客户端凭证和承载令牌。
为了防止令牌扫描攻击,端点也必须要求 访问此端点的某种形式的授权,例如客户端 OAuth 2.0 [RFC6749]中描述的身份验证或单独的身份验证 OAuth 2.0访问令牌,例如OAuth中描述的承载令牌 2.0承载令牌使用[RFC6750]。 管理方法和 验证这些身份验证凭据超出了此范围 说明书