在大多数OAuth2典型使用案例中,范围由需要用户登录的资源所有者密码授予类型或授权代码流使用。
似乎范围主要用于控制用户资源的访问。例如,授权第三方客户端访问另一台服务器上的资源所有者(用户)资源。
在某些情况下,用户不存在。例如,一家公司只想为另一家公司提供API。正在使用客户端凭据。大多数API网关产品都具有订户管理选项,以控制哪些客户端ID可以访问哪些API。在那种情况下,使用OAuth范围来管理对API的访问是否仍然有意义?为什么?
此外,我找不到使用范围以及客户端凭证授予类型的任何示例。这是罕见的用例吗?
答案 0 :(得分:0)
“客户端凭据”授予类型用于访问双方拥有/控制/信任的受保护资源。
此授予类型支持范围。通常不使用它们,因为信任已经存在,并且不需要通过范围限制信任。
换句话说,不使用范围的原因是,如果不存在信任,则其他授予类型更合适。