1
This example by Microsoft描述了实现OAuth 2.0授权服务器。我正在执行授权代码授权流程。在下载的示例代码中,/授权端点每次都要求用户在登录时授予权限。由于用户希望在第一次登录时只授予一次权限,我应该自己为每个用户持久保留还是支持OAuth这是默认的?OAuth 2.0记得授权许可
这种情况下的最佳做法是什么?
在此先感谢。
A
回答
0
OAuth 2.0规范本身并未提及有关该功能的任何内容。因此,如果您正在使用的授权服务器的实施不具备该功能,那么您自己必须实施该功能。
为了实现该功能,你需要存储有关“谁(用户)已授予哪些权限(范围)给谁(客户端应用程序)”为用户和客户端应用程序的每个组合。另外,为了避免再次询问用户,在向每个组合发出的所有访问令牌都已过期之后,可能还是希望保留这些信息。
如果我是你,我会添加一个内部API到授权服务器。 API将接收用户标识和客户端标识,并返回用户过去已授予客户端应用程序的范围列表。如果有这样一个API,您可以在生成授权页面时使用它。
供参考:
Authlete的 “Granted Scopes API” 就是一个例子。 /api/client/granted_scopes/get API接受subject和clientId请求参数并返回如下所示的JSON。
{
"serviceApiKey" : <Service API Key>,
"clientId" : <Client ID>,
"subject" : <User's Unique ID>,
"latestGrantedScopes" : <Scopes granted by the last authorization process>,
"mergedGrantedScopes" : <All the scopes granted so far>,
}
/api/client/granted_scopes/delete API接受subject和clientId请求参数,并删除记录记住如果有的话。
请注意,授予的范围API仅适用于专用的Authlete服务器。它在共享的Authlete服务器(api.authlete.com)上不起作用。这是因为如果API调用者根据需要不调用/api/client/granted_scopes/delete API,垃圾记录可能会累积,并且此类垃圾记录会浪费共享存储。
相关问题
- 1. Salesforce Oauth 2.0授权屏幕
- 2. 如何重置谷歌oauth 2.0授权?
- 3. 的OAuth 2.0认证和授权
- 4. OAuth 2.0代码授权流程
- 5. 使用JWT的Oauth 2.0授权
- 6. 谷歌的OAuth 2.0 invalid_client未经授权
- 7. 获得授权属性的许可?
- 8. 无法获得用于OAuth 2.0授权的QuickBooks API accessTokenKey
- 9. Smartsheet API - OAuth流程 - 记住授权
- 10. 授权许可Facebook浏览器授权对话框
- 11. Twitter的OAuth授权
- 12. Box Oauth Powershell授权
- 13. 以编程方式从Spring OAuth 2.0授权服务器获取授权代码
- 14. 播放2.0 - 授权
- 15. PRAW:使用OAuth授权可阻止我获得提交/评论
- 16. OAuth 2.0授权代码中“代码”的生命周期授权代码授权代码Grant
- 17. OAuth Facebook授权帐户?
- 18. 授权角色WebAPI oauth owin
- 19. omniauth OAuthException&OAuth ::未授权
- 20. Spring Oauth授权码配置
- 21. Oauth,Twitter,401未授权
- 22. 剩余的OAuth授权?
- 23. Slack Oauth /授权API调用
- 24. 电报BOT - OAuth授权
- 25. spotifpy oauth授权码流
- 26. TweetSharp对WP7(oAuth)的授权
- 27. 无法从OAuth 2.0获取访问令牌授权码流程
- 28. Google oAuth 2.0新授权和令牌端点
- 29. 谷歌分析API OAuth 2.0授权不弹出
- 30. oAuth 2.0是否应该撤销旧的授权码