1

我正在为我公司的 REST API 实现 OAuth 2.0 提供程序,使用spring security oauth.
出于某种原因,当使用 Token 端点时spring security oauth,客户端要求客户端将其所需范围作为请求参数发送(这发生在ClientCredentialsChecker.validateScope方法中)。
据我了解有关访问令牌范围的规范部分,范围参数是可选的,但如果不存在范围,提供者可以决定授权请求失败。
我的问题是:

  • 我是否将规范理解为允许提供商强制规定范围?
  • 有谁知道为什么spring security oauth选择对规范进行更严格的解释而不允许对其进行配置?

谢谢

4

1 回答 1

1

我认为这里的问题实际上归结为范围绑定的概念。您说得对,规范声明范围参数是可选的,但是是否必须在实现 OAuth 2 的服务中定义范围实际上取决于实现者(在本例中为 Spring)。

现在到范围绑定的概念。在实现范围或您希望能够从用户访问的信息时,您有两种基本类型 - 绑定和未绑定范围。使用绑定范围时,需要在创建应用程序并获取 OAuth 密钥和机密时定义范围。如果实现未绑定的范围(如 Spring),则需要在第一次重定向调用期间定义范围以获得用户身份验证。在许多没有定义范围的情况下,实现未绑定范围的服务将使用一组您可以访问的默认用户详细信息。看来,在 Spring 案例中,范围是必需的。

免责声明:我之前没有使用过 Spring 安全 OAuth 实现。

只是为了让您了解绑定和未绑定之间的区别,以下是一些示例:

Facebook 使用未绑定的范围来请求用户数据,因此他们的初始重定向请求可能如下所示:

//construct Facebook auth URI
$auth_url = sprintf("%s?redirect_uri=%s&client_id=%s&scope=email,publish_stream", 
            $authorization_endpoint, 
            $callback_url, 
            $key);

在 Gowalla 的情况下(当 Gowalla 仍然可用时),他们使用绑定到 OAuth 密钥的范围,因此当您发出初始请求时,不需要定义范围,给您的请求看起来更像这(注意缺少范围参数):

//construct Gowalla auth URI
$auth_url = sprintf("%s?redirect_uri=%s&client_id=%s", 
            $authorization_endpoint, 
            $callback_url, 
            $key);

我希望这会有所帮助,

乔恩

于 2012-04-23T16:10:15.917 回答