我想使用 oauth2 中的客户端凭据授予来保护 API。
但是,我希望访问令牌映射到单个用户(由我在带外信任/设置阶段选择,在该阶段我共享密钥/秘密)。
这是一个问题吗?我知道使用客户端凭据授予的访问令牌不应该在用户的上下文中......以这种方式绑定它是不好的做法吗?
这本身不是一个问题,至少在安全方面是这样,尽管你可能会称其为不好的做法。如果您确保分配客户端凭据的方式能够保证该凭据恰好绑定到该客户端被授权的一个用户,那么就没有问题。但请注意,实现这一目标的带外过程正是授权代码授予您带内的过程。
您还必须确保在用户所需权限发生更改或用户帐户被删除时撤销客户端凭据,就像常规授权服务器对其刷新令牌所做的那样。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)