为什么在另一个基于 OAuth 的协议上使用提议的OpenID OAuth 扩展?
发现似乎不是一个功能。尽管消费者只需要一个声明的标识符来启动身份验证过程,但任何授权仍然需要消费者知道访问令牌 URL、签名方法,并与提供者共享密钥/秘密。
一个好处是有一种特定的方式来请求特定的授权,即身份验证请求的 openid.oauth.scope 参数。这样做的一个具体好处是,仅为消费者的利益而没有可验证令牌的身份验证是免费定义的,并且可以在无需担心跟踪未完成令牌或它们可能需要的资源的情况下执行。
是否有用于指定要请求的范围的替代方法的示例,可能在 OpenID 发现中使用某些东西?或者这可以在 OAuth 过程之前通过某种 REST 导航有效地处理,其中通过解释从众所周知的 URL 开始的超文本来发现特定于所需范围的几个请求令牌 URL 之一?
我正在研究具有多个授权范围的委托身份验证和授权系统,其中范围与不同的交互相关。换句话说,消费者需要告诉提供者哪些范围应该呈现给用户以进行授权。