gpt4 book ai didi

authentication - 可信客户端 OAuth token 创建?

转载 作者:行者123 更新时间:2023-12-02 03:29:44 25 4
gpt4 key购买 nike

TL:DR;

我的 VPC 中有一个受信任的应用程序,我想允许:

POST/oauth/authorize? user_id=U_123, client_id=xyz, client_secret=abdfd 允许无限制访问任何用户的数据,前提是客户端密码是 secret 的。有优先权吗?


我一直在实现面向服务的架构,我不太确定的部分之一是我们的应用程序身份验证和授权。

我们有一个主要 API 的内部应用程序,我们仅使用客户端凭据(id、 secret )和用户 id 将其列入受信任的 OAuth 白名单:

POST/oauth/authorize? user_id=U_123, client_id=xyz, client_secret=abdfd

本质上,这使得在没有密码且不显示授权页面的情况下为给定用户生成 oauth token 成为可能。

通过在混合中包含用户标识符,这允许使用特定于用户的 token ,并为我们提供了使单个用户的 token 无效的选项。通过这种方式,我们不必使整个应用程序失效,因此不会损害安全级别。

是否有创建可信客户端 OAuth 2.0 token 的优先级?

最佳答案

您描述的用例符合 OAuth 2.0 规范中标准化的客户端凭证授权:https://www.rfc-editor.org/rfc/rfc6749#section-4.4

用户标识符可以有效地作为 scope 值传递,允许访问该用户(资源所有者)的资源。这就是规范所称的受控资源“之前已与授权服务器安排的另一个资源所有者”。

关于authentication - 可信客户端 OAuth token 创建?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/27698016/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com