0

我使用 oauth 服务器在我的项目上构建 API 以进行授权(我已经使用了https://github.com/bshaffer/oauth2-server-php)。用户将能够编写自己的应用程序并通过 iframe 将其集成到我的项目中。

我对 API 用户有两种权限:

  1. 可被应用程序直接调用的 API 方法(授权类型=client_credentials)

  2. 当用户授权应用程序访问他的数据时,应用程序代表当前用户调用 API 方法(授权类型=授权代码)

所以我的项目会有两种类型的访问令牌,我怎样才能检测到这个时候使用什么类型的令牌用户并允许或限制他的行为?

p/s/ 抱歉英语不好和文本中可能出现的错误。

4

1 回答 1

0

所以我的项目会有两种类型的访问令牌,我怎样才能检测到这个时候使用什么类型的令牌用户并允许或限制他的行为?

访问令牌的格式不是 OAuth 规范的一部分。例如,您可以选择JWT访问令牌格式。因此,在代表用户发布访问令牌的情况下,您可以将用户名或电子邮件作为访问令牌中的声明。因此,在资源服务器(您的 API)上验证它时,您可以在访问令牌有效负载中查找此声明的存在。

于 2013-07-26T06:16:23.310 回答