假设您有一个 OAuth2 Open-id 连接授权服务器,它可以通过客户端注册支持许多不同的客户端。现在,资源所有者正在登录第 3 方客户端,在该客户端中,他们将被重定向到授权服务器以授予对其资源的访问权限。通常在这种情况下,您会看到允许/拒绝按钮并显示您授予他们使用的权限/范围。
现在考虑到这一点,对于授权服务器的所有者/组织托管的客户端,我们会怎么做。如果您正在登录一个网络应用程序,比如 Google,那么您会看到一个屏幕说 google 需要您允许访问 google,这对您来说会有点奇怪。在这种情况下你会怎么做?您是否会为这些类型的客户端设置客户端 ID,并说如果此客户端是网络,则授予所有范围/权限?
如果有人有任何见解,并且可以帮助我理解这个案例,那将会很有帮助。反过来,如果您不明白我要问什么,请向我提问:)
答案 0 :(得分:1)
规范的 OAuth 2.0 / OpenID Connect 流程专为“消费者”用例而设计,其中客户端确实由 3rd 方提供。但是,相同的协议也经常用于“企业”场景,其中所有涉及的组件都由第 3 方提供和管理。在这种情况下,正如您所建议的那样,“同意”部分是多余的(因为在员工加入公司时隐含地完成了)。大多数(如果不是全部)授权服务器实现在客户端配置中有一个选项可以跳过用户同意以适应后一种情况。