我正在尝试了解我可以利用的正确 OAuth2 流程以及他们的决策的影响。我有一个配置了 OAuth2 身份验证流程的 Web 应用程序,并看到身份验证成功。我们的 Web 应用程序还为不同的应用程序公开了 3 个其他 api 端点。
对于第一遍,我正在尝试 API 的客户端机密流程。因此,我创建了额外的 OAuth2 Web 应用程序,并为每个 API 提供了公开的 api。我可以调用 IDP(使用授权类型、client_id、client_secret 和范围(api id))来获取访问令牌并调用端点。一些观察/问题:
我想我错过了在拥有多个资源服务器和 Web 应用程序的企业中使用 OAuth2 的大局。使用访问令牌来允许访问资源的概念对我来说需要更具体的感觉和示例。
谢谢
访问令牌背后的目标是以可验证的方式向您的 API 传递安全值(用于授权)。因此,当涉及到用户时,请避免在调用上游 API 时切换到客户端凭证流程。
相反,请考虑将用户级访问令牌转发到上游 API。但是,每个 API 都应检查其自己所需的受众和范围。
受众是 API 的逻辑分组,例如
api.company.cominternet/sales
commercial/sales
如何使用这些成分取决于您,因为 OAuth 旨在保护业务数据。基于声明的授权应该是主要焦点。我的博客文章对此进行了更多介绍。