在 OAuth 2.0 设置中,假设除了 OAuth 授权(可选地使用 OAuth 范围)之外,您希望资源服务器使用 SAML 断言来实现细粒度的授权检查,例如,仅当“消费者”持有“金”的地位。
1) OAuth 访问令牌是否可以“传达”SAML 2 断言?如何?
2)如果没有,有没有办法同时使用 Oauth 和 SAML 2 来获得类似的结果?
3)有没有办法自己使用 OAuth(没有 SAML)来获得类似的结果?
请注意,我知道您可以在获取令牌时使用 SAML 断言作为用户凭证,但这里的要点不同:需要的是在访问资源时使用 SAML 断言,即使用令牌时。