如果我将收到的OAuth访问令牌(在后台)分发给多个不属于原始OAuth流的其他客户端,那么安全问题可能是什么?我试图实现对那些甚至不在OAuth流中的各方的授权,就像UMA一样......纠正我......我可能是完全错误的。
这与你的用例高度相关。作为一个经验法则,你不会分发令牌。
然而,你可能会遇到这样的情况:你的代码需要与另一个应用程序共享代币,以完成你向客户提供的服务。像Pathfix或UMA这样的OAuth无服务器代理不属于第三方的范畴,他们为你的应用提供功能,所以他们更像是内部使用的Libraries,或处理服务器。
如果你提供一些关于你的用例的更多信息,这也可以是一个很好的讨论,供其他人参考:)