我正在尝试oauth2在我们的API中实现基本身份验证。
我已经构建了一个身份验证服务器,并在API#1和API Server#2中实现了访问令牌验证。
所以我的问题是,如何oauth2与多个API一起使用?
目前,我可以通过一个access_token访问所有API,但是我想这应该不是...,还是我误会了什么?
而且我不确定scopes参数,这更多是权限问题,并且未指定访问令牌应发布给哪个api。
假设您使用单个授权服务器,范围概念允许您处理此问题:您可以为每个 API 定义一个范围,并让客户端请求一个或两个范围。颁发与多个范围(即您的情况下的 API)关联的访问令牌是完全有效且实用的 OAuth 2.0。
访问令牌是按每个客户端颁发的,因此向同一客户端分发不同的访问令牌不会给您带来任何安全优势,除非两个 API 由不同的实体控制。无论如何,客户端都必须改变请求它们的方式,这将再次使用范围来完成。
| 归档时间: |
|
| 查看次数: |
3854 次 |
| 最近记录: |