0

我正在阅读 OAuth 2.0 RFC 6749。在部分:(协议端点)[https://www.rfc-editor.org/rfc/rfc6749#section-3] 中提到授权服务器需要一个authorization endpoint. 在我正在构建的应用程序中,需要另一个想要以不同方式完成授权代码流的客户端,因此考虑了两个选项:

  1. 在不同的路径上公开一个新端点

  2. 保留现有端点 ( /authorization) 但注意新客户端将提供的标头

该规范没有说明公开多个授权端点。想知道它是否合规?

4

1 回答 1

0

我认为“完成授权代码流程的不同方式”很可能不符合规范。取决于细节。通常,授权服务器可以根据“策略”在其认为合适的情况下在内部管理授权代码流。但是,在外部,授权代码流是明确定义的。

作为 Authorization_endpoint ( RFC 6749 ) 的细节:“OAuth 客户端获取 Authorization_endpoint 位置的方式超出了范围,但该位置通常在服务文档中提供。”

该位置可以在OpenID Connect Discovery中定义或在服务文档中提供。

-吉姆

于 2019-09-04T10:19:30.363 回答