0

在身份验证请求中,如果用户先前同意某些客户端(针对特定范围列表),并且可能会多次提示他们进行相同的授权。¿ 可以跳过它吗?¿ 适用于代码和隐式流?¿ 多少时间记住同意?

我对实现这一点的方式有点困惑。Oauth2 草案说:

... and obtains an authorization decision
(by asking the resource owner or by
establishing approval via other means).

OpenID 草案说:

... this MAY be done through an interactive dialogue with the End-User
that makes it clear what is being consented to or by establishing
consent via conditions for processing the request or other means
(for example, via previous administrative consent).

正在为 Django 开发 OpenID Provider 实现。 https://github.com/juanifioren/django-openid-provider

谢谢你的时间。问候。

4

2 回答 2

2

同意是一项棘手的工作。不同的国家有不同的规则,甚至同一个国家有不同的解释。但是,除了 SSO 系统中处理同意的一种常见方式之外,当用户第一次从特定客户端出现时征求用户同意,然后询问是否应该记住该选择,或者它是否应该只有效一次。当然,如果用户说她的同意应该被记住,她仍然应该有可能稍后重绘同意,但在正常授权流程之外。

于 2015-02-13T07:47:23.893 回答
0

您应该仅在用户第一次登录该客户端时请求批准特定客户端,然后将其存储以供以后使用。在某些用例中,不需要用户同意,因为它可能是隐含的,例如在用户使用内部客户端的企业环境中。

于 2015-02-06T20:36:03.847 回答