当请求OAUTH授权密码令牌时,用户可以指定所需的范围。如何防止普通用户请求和管理范围?
该代码示例了一个恶意请求,该请求请求管理员作用域,尽管他不应该访问它。
curl -X POST \
http://a.myapiserver.com/api/oauth/token \
-F grant_type=password \
-F client_id=2 \
-F client_secret=PpMrx32Zow5OcQf491GXXT0dlEzMNuYHt6fe4Wdy \
-F username=regularuser \
-F password=strongpasss \
-F scope=admin
答案 0 :(得分:0)
问题已通过添加中间件ScopeLogic并将其添加到password :: routes来解决。
在这里找到解决方案:https://code.i-harness.com/en/q/259c0dd