OAuth 2 сервер связывает области с пользователями?

При построении сервера OAuth 2 что-то не так с привязкой областей к пользователям? По сути, позволяя областям выполнять роли ваших приложений?

Я посмотрел на RFC, но не могу найти какое-либо руководство по этому вопросу.

Вариант использования для потока будет примерно таким:

                   A client requests an access token.
                                  |
                                  ↓
             On the server side: it checks to see if the user 
                 is able to receive the requested scope(s). 
                       ⁄                              \
                     ↙                                 ↘
               Check Passes:                       Check Fails:
                     |                                 |
                     ↓                                 ↓
           Server issues token.           Server denies request for token.

Еще немного визуального контекста, это представление данных SQL:

1 ответ

Определение областей выходит за рамки (!) Для самой спецификации OAuth 2.0. Обычно области представляют разрешения или роли приложений, которые действительно основаны на общем понимании между сервером авторизации, сервером ресурсов и, возможно, клиентом. То, что вы описываете, является распространенным случаем использования большинства грантов OAuth 2.0, таких как грант кода авторизации, когда приложение (клиент) будет действовать от имени пользователя, наследуя (необязательно ограниченный) набор разрешений, которые пользователь предоставляет приложению все в пределах полномочий, которыми обладает сам пользователь.

Другие вопросы по тегам