[英]Oauth and scopes and its correct use
可能是我在这里遗漏了什么,但是客户要求范围的重点是什么?
我的意思是,当客户请求令牌时,他/她可以说“我想要一切”,即读/写/删除/更新等。
实际上,用户可能只有读取权限。 那么在范围内请求这些有什么意义呢? 还是将它们放在范围内不是一个好习惯/想法? 如果不是,那么您真正将其用于什么?
我在某些地方看到它用于电子邮件,用户名,而在其他地方则用于repo:read,repo:write...。
授权服务器不是要决定用户拥有什么权限吗?
谢谢
我不确定我是否完全理解您的问题,但是可以。 在典型的OAuth方案中,有:
当您使用中继方的应用程序时,它需要从OAuth提供程序获取您的信息。 大多数提供商对最终用户的信息具有不同级别或“范围”的访问权限-通常不是全部访问权限或没有访问权限。 中继方必须定义访问范围,并询问OAuth提供者,该提供者将访问范围请求提交给最终用户,最后,最终用户可以决定是授予中继方该访问范围还是拒绝它。
因此,如果没有范围,中继方如何请求更细微的访问权限?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.