繁体 English 中英

限制OAuth 2.0中用户/消费者组合的同时授权

[英]Limiting simultaneous authorisations for a user/consumer combination in OAuth 2.0

原文 2010-11-13 10:53:41 9 1 security/ oauth/ authorization/ oauth-2.0

我正在构建一个将充当OAuth 2.0提供程序的服务。 我希望能够限制用户对特定使用者的同时授权数量。

例如，消费者应用程序的每个用户应该只能拥有该消费者的三个同时授权，因此只能同时使用三个客户端。 当他们尝试第四次授权时，应该提示用户删除现有客户端的授权，然后才能继续。

以我对OAuth的有限经验来看，消费者应用程序的令牌对于用户和消费者组合始终是相同的，因此无法撤消对特定客户端（仅消费者）的访问。

OAuth 2.0中是否有任何规定可以使客户端标识符成为该组合的一部分，从而成为令牌的一部分？ 由于用户代理流程的原因，我对OAuth 2.0特别感兴趣。

还是我完全将错误的树包裹起来，是否应该考虑在OAuth之上放置其他系统？

似乎您可以生成特定于授权的访问令牌，并包含有关每个客户端/授权实例在令牌本身（编码形式为-1等）或应用程序内（每个访问令牌都是唯一的）引用的元数据。 实际上，这样做可能被认为是对大多数提供程序实现的改进，因为可以更轻松地识别单个客户（例如滥用等）。

令牌不需要采用任何特定的格式，因此您可以随意使用所需的语义信息来重载它们，并使UI和UX匹配。

[英]Limiting the scopes of an OAuth 2.0 flow

[英]OAuth authentication and consumer secrets

[英]OAuth2.0 Concept

[英]client secret in OAuth 2.0

[英]In Oauth2.0, can a human user act as a client?

[英]Impersonate Google Cloud Patform user through OAuth2.0 flow

[英]Can a user have two valid token at a time in oauth 2.0 for auth code grant type?

[英]Limiting Access to Certain User Profiles

[英]Limiting user login attempts in PHP

[英]OAuth 2.0 — What's new?

暂无

声明:本站的技术帖子网页，遵循CC BY-SA 4.0协议，如果您需要转载，请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 限制 OAuth 2.0 流程的范围 OAuth身份验证和消费者机密 OAuth2.0概念 OAuth 2.0中的客户端机密在 Oauth2.0 中，人类用户可以充当客户端吗？通过 OAuth2.0 流模拟 Google Cloud Patform 用户用户可以在oauth 2.0中一次拥有两个有效令牌，用于授权代码授予类型吗？限制对某些用户配置文件的访问在 PHP 中限制用户登录尝试 OAuth 2.0 - 什么是新的？

相关标签