1

我已经使用客户端凭据流在 Kong 中配置了 Oauth2 插件。所有端点都可以访问并且按预期工作,除了我可以从 {service}/oauth2/token 端点请求访问令牌而无需在我的发布请求中提供 provision_key。(即使我只发布 grant_type、scope、client_id 和 client_secret 作为参数,它也会返回一个有效的令牌)

我需要在插件配置上启用什么吗?还是以某种方式定义了客户端凭据流(即令牌端点),不需要provision_key?

4

1 回答 1

2

仅当provision_key您还想authenticated_userid在请求中指定时才需要。这是 OAuth2 的特定于 Kong 的扩展,它并不真正符合标准,这就是为什么我猜他们选择不真正记录它的原因。

如果您将 Client Credentials 用于它的用途 - 服务器到服务器的后端通信没有明确的用户上下文 - Kong 将接受没有 的令牌请求provision_key,就像 OAuth 2.0 RFC 指定的那样。

于 2019-10-23T05:15:47.323 回答