2

在构建 OAuth 2 服务器时,将范围与用户关联有什么问题吗?本质上允许范围充当您的应用程序角色?

我查看了RFC,但似乎找不到任何关于此的指导。

流的用例是这样的:

                   A client requests an access token.
                                  |
                                  ↓
             On the server side: it checks to see if the user 
                 is able to receive the requested scope(s). 
                       ⁄                              \
                     ↙                                 ↘
               Check Passes:                       Check Fails:
                     |                                 |
                     ↓                                 ↓
           Server issues token.           Server denies request for token.

一些更直观的上下文,这是一个 SQL 数据表示:

在此处输入图像描述

4

1 回答 1

2

范围的定义超出了 OAuth 2.0 规范本身的范围 (!)。通常,范围代表应用程序权限或角色,实际上基于授权服务器、资源服务器和可能的客户端之间的共享理解。您描述的是大多数 OAuth 2.0 授权的常见用例,例如授权代码授权,其中应用程序(客户端)将代表用户行事,继承用户授予应用程序的一组(可选受限)权限,都在用户自己拥有的权力范围内。

于 2015-01-06T14:03:49.367 回答