我正在构建一个将充当 OAuth 2.0 提供者的服务。我希望能够限制用户对特定消费者的同时授权数量。
例如,消费者应用程序的每个用户应该只能拥有该消费者的三个同时授权,因此只能同时使用三个客户端。当他们第四次尝试授权时,它应该提示用户删除现有客户端的授权,然后才能继续。
在我有限的 OAuth 经验中,消费者应用程序的令牌对于用户和消费者组合始终是相同的,因此无法撤销对特定客户端的访问 - 只有消费者。
OAuth 2.0 中是否有任何规定可以使客户端标识符成为该组合的一部分,从而成为令牌的一部分?由于用户代理流程,我对 OAuth 2.0 特别感兴趣。
或者我是不是完全找错了树,我应该考虑在 OAuth 之上放置不同的系统吗?