开放式银行零范围的例子？

Question

开放银行授权服务器是否应该拒绝或接受具有空范围的GET /token或/register端点请求？

当查看规范时，很明显，范围不是强制性的，但是在注册时，作用域是根据使用的证书的内容进行验证的。在没有授权特定范围的情况下，我希望在不成熟的服务器系统中出现误用/安全问题的风险会增加，因为验证例程可能还处于起步阶段。

，我是不是疑神疑鬼？，在没有使用范围的情况下，机器对机器的授权是完全相关的吗？

Answer 1

作用域是客户端应用程序将要使用的功能。因此，如果没有提供范围，则可以发出令牌，但不能用于任何事情。我认为，如果您正在实现服务器端，您将拒绝使用这样的令牌进行的每个调用(如果允许空范围的话)。

但是，由于您希望再次验证客户端应用程序证书中的角色，因此拒绝"make“和/或”注册“请求是有意义的，以防其中一个作用域不被证书中任何一个被请求的作用域与证书中的角色匹配。

还要考虑到OpenID是基于openid连接规范的，并且需要"openid“范围：https://openid.net/specs/openid-connect-core-1_0.html#AuthRequest