那些遇到过的问题

如何确定用于访问令牌的授权类型

Nik*_*ric 6 wso2 oauth-2.0 wso2-api-manager

我在WSO2 API Manager中配置了一个API,允许多种不同的OAuth 2.0授权类型(客户端凭据和openid).

我的API需要不同的行为,具体取决于它是通过客户端凭据生成的access_token还是openid来调用的.API如何验证提供的访问令牌是通过客户端凭据还是openid生成的?

编辑和解决方案:

我找到了一种方法来做到这一点.以下WSO2文档显示了如何配置API Manager以传递包含某些特定于令牌的信息的JWT.在该令牌中,您将找到" http://wso2.org/claims/usertype "声明.如果您的api是通过客户端凭证授予类型访问的,那么如果通过openid或SAML访问它,它的值将是APPLICATION,它将是APPLICATION_USER.我没有找到专门概述这种情况的文档,但似乎有效.

Bee*_*Bee -1

我认为没有直接的方法可以做到这一点,除非您编写自己的代码来从表中获取此信息IDN_OAUTH2_ACCESS_TOKEN

但是使用一些hacky方法你应该能够毫不费力地做到这一点。

例如,

1) 如果您已经知道应用程序创建者的名称(或用户存储域),您可以获取本博客文章中提到的令牌所有者,并将其与应用程序所有者的名称进行比较。由客户端凭证授予类型生成的令牌的所有者始终与应用程序所有者相同。但是,此方法有一个限制,即当应用程序所有者使用 API OICD 令牌和客户端凭据授予类型调用时,您无法区分。

2) 启用JWT 令牌,然后根据用户声明做出决定。

归档时间:

查看次数:

300 次

最近记录:

7 年,9 月 前
相关归档
如何在 Web API 中验证 access_token(Azure AD OAuth 2.0)? 8
使用Google+登录时允许多个帐户 6
流式XPath的性能提升了多少 5
持久仅客户端 Google API 授权? 5
使用SAML单点登录获取OAuth访问令牌或使用Box.com API的代码 4
Azure AD-B2C 错误:IDX10501:签名验证失败。无法匹配键:kid: '[PII is hidden]',令牌:'[PII is hidden]' 4
如何使用Google API在OAuth 2.0中传递"授权"标头值 3
为什么授予“allAuthenticatedUsers”成员“云函数调用者”角色不适用于谷歌云函数? 2
将spring-security.xml更新到Spring 4.0.x. 1
如何以及为什么使用refresh_token处理jwt令牌过期,还有其他选择吗? 1
难疑归档
如何检查jQuery中是否选中了复选框? 4390
为什么Google会在(1)之前提前; 他们的JSON回复? 3940
使用Java创建内存泄漏 3076
在HTML5 localStorage中存储对象 2386
如何在Java中声明和初始化数组? 1946
你什么时候使用git rebase而不是git merge? 1461
为什么不从List <T>继承? 1299
\ d效率低于[0-9] 1214
Android SDK安装找不到JDK 1185
你如何重命名Git标签? 1162