限制 OAuth 2.0 流程的范围
[英]Limiting the scopes of an OAuth 2.0 flow
问题描述
我想在我的代码中设置 OAuth 2.0 流。
我希望我的代码仅限于特定范围(即使有人不小心编写了一些额外的代码来请求额外的代码)。
假设我希望我的代码只能访问 facebook 中的照片。
是向授权服务器请求期间唯一限制范围的地方,例如
https://facebook.com/dialog/oauth?response_type=code&client_id=CLIENT_ID
&redirect_uri=REDIRECT_URI&scope=email&state=1234zyx
或者有没有办法在发出client_id和client_secret时强制执行此限制,以便以下请求最终失败?
https://facebook.com/dialog/oauth?response_type=code&client_id=CLIENT_ID
&redirect_uri=REDIRECT_URI&scope=email,posts&state=1234zyx
我的用例是针对谷歌 API 的。
1 个解决方案
解决方案1
1 已采纳 2022-06-29 09:07:13
没有提供足够的详细信息来了解您要完成的工作; 但一般来说:
- OAuth 客户端可以请求任何所需的范围。
- 资源所有者(如果使用 API,可能是最终用户“同意屏幕”或 Google)可能不会委托部分或全部请求的范围。
- 由于许多原因,授权服务器可能会忽略部分或全部请求的范围。
限制OAuth 2.0中用户/消费者组合的同时授权
[英]Limiting simultaneous authorisations for a user/consumer combination in OAuth 2.0
OAuth 2.0 隐式授权流程 - clientId 和 accessToken 公开安全
[英]OAuth 2.0 Implicit Grant Flow - clientId and accessToken exposure security
通过 OAuth2.0 流模拟 Google Cloud Patform 用户
[英]Impersonate Google Cloud Patform user through OAuth2.0 flow
为什么我不应该在OAuth 2.0的移动应用中保留client_secret(授权代码授予流程)
[英]Why I shouldn't keep client_secret in mobile app in OAuth 2.0 (authorization code grant flow)
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.