我的需求:
- 让我们考虑同一域的 2 个最终用户。
- 用户 UA 是资源 RA 的资源所有者。
- 用户 UA 希望将资源 RA 的访问权委托给最终用户 UB。
我对 OAuth 2.0 的主要兴趣来自总令牌控制(随时撤销等)。
OAuth 2.0 框架允许客户端以具有明确权限的资源所有者的名义行事。
Oauth 2.0 定义了资源所有者和客户端角色(参见角色部分),其中:
- 资源所有者可以是最终用户(可以授予对受保护资源的访问权限)。
- 客户端是代表资源所有者发出受保护资源请求的应用程序。
在规范中,客户端始终被视为一个应用程序(没有特定的实现特征)。
我想知道以最终用户作为客户端角色来实施 OAuth 2.0 是否可以,或者我是否完全滥用了 OAuth?
我的直觉是 OAuth 2.0 仅适用于第三方应用程序(具有互操作性),而不适用于同一域的 2 个最终用户。我对吗?另一方面,所有代币机制都真正符合我的需求。
PS:这个过期的 OAuth 规范(2010) 谈到了使用 OAuth 协议通过客户端将资源所有者的授权委托给另一个用户。但这不是那么相关。