开放银行授权服务器是否应该拒绝或接受GET /token或/register终结具有 NULL SCOPE 的请求?
在查看规范时,很明显 SCOPE 不是强制性的,但是在注册时,范围会根据所用证书的内容进行验证。如果没有授权特定范围,我预计在验证例程可能处于起步阶段的不成熟服务器系统中滥用/安全问题的风险会增加。
我是偏执狂吗?在不使用 SCOPE 的情况下,是否存在机器对机器授权完全相关的有效场景?
问问题
16 次
1 回答
0
范围是客户端应用程序将使用的功能。因此,如果没有提供任何范围,则可以发出令牌,但不能用于任何事情。我认为如果您正在实现服务器端,您会拒绝使用这样的令牌进行的每个调用(如果完全允许 null 范围)。
但是,由于您想针对客户端应用程序证书中的角色验证范围,因此拒绝“制作令牌”和/或“注册”请求是有意义的,以防没有任何请求范围的证书不允许其中一个范围与证书中的角色匹配。
还要考虑到 Open Banking UK 基于 OpenID Connect 规范,并且需要“openid”范围:https ://openid.net/specs/openid-connect-core-1_0.html#AuthRequest
于 2021-11-19T14:50:03.020 回答