我已使用客户端凭据流在Kong中配置了Oauth2插件。所有端点都可以访问,并且可以按预期工作,除了以下事实:我可以从{service} / oauth2 / token端点请求访问令牌,而无需在发布请求中提供Provision_key。 (即使我仅将Grant_type,scope,client_id和client_secret作为参数发布,它也会返回有效的令牌)
在插件配置上是否需要启用某些功能?还是以某种方式定义它,以使客户端凭据流(即令牌端点)不需要provision_key?
答案 0 :(得分:0)
仅当您还要在请求中指定provision_key时,才需要authenticated_userid。这是OAuth2的特定于Kong的扩展,它并不真正符合该标准,这就是为什么我认为他们选择不真正对其进行记录的原因。
如果您将客户端凭据用于预期用途-没有明确用户上下文的服务器到服务器后端通信-就像OAuth 2.0 RFC指定的那样,Kong将接受不带provision_key的令牌请求。< / p>