Oauth和范围及其正确使用
[英]Oauth and scopes and its correct use
问题描述
可能是我在这里遗漏了什么,但是客户要求范围的重点是什么?
我的意思是,当客户请求令牌时,他/她可以说“我想要一切”,即读/写/删除/更新等。
实际上,用户可能只有读取权限。 那么在范围内请求这些有什么意义呢? 还是将它们放在范围内不是一个好习惯/想法? 如果不是,那么您真正将其用于什么?
我在某些地方看到它用于电子邮件,用户名,而在其他地方则用于repo:read,repo:write...。
授权服务器不是要决定用户拥有什么权限吗?
谢谢
1 个解决方案
解决方案1
1 已采纳 2014-08-12 10:10:27
我不确定我是否完全理解您的问题,但是可以。 在典型的OAuth方案中,有:
- OAuth提供商-具有受保护的资源,发布对资源的访问令牌(例如Google)
- 最终用户-资源所有者(例如Google用户)
- 中继方-代表最终用户使用OAuth访问提供商的受保护资源(例如,一些随机应用会对您的Google个人资料执行某些操作)
当您使用中继方的应用程序时,它需要从OAuth提供程序获取您的信息。 大多数提供商对最终用户的信息具有不同级别或“范围”的访问权限-通常不是全部访问权限或没有访问权限。 中继方必须定义访问范围,并询问OAuth提供者,该提供者将访问范围请求提交给最终用户,最后,最终用户可以决定是授予中继方该访问范围还是拒绝它。
因此,如果没有范围,中继方如何请求更细微的访问权限?
在不同范围上使用相同的模板
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.