OAuth 2.0多作用域(客户端凭据案例)

Question

在OAuth 2.0设置中，假设有一个应用程序在“客户端凭据授予”流之后执行“访问令牌请求”。换句话说，我们有一个应用程序A访问其他应用程序公开的一些API；正如OAuth2.0所指定的那样，在本例中，“应用程序A”只使用其客户端凭据，而不使用用户的凭据。

现在，假设应用程序A希望访问两个或多个应用程序公开的API，比如应用程序B和C(例如:应用程序A编排了对B和C的API的访问以提供组合服务)。B和C也在不同的领域，例如b.com和c.com，但是A、B和C共享一个共同的OAuth授权服务器。

1. A是否可以请求一个在其范围内同时具有b.com和c.com域资源的单一访问令牌，以便A可以使用相同的令牌访问B和C？
2. 你怎么能得到这个？
3. 如果这是不可能的，是否有任何最佳做法来管理类似的情况？

请注意，我知道OAuth 2.0规范允许在请求或发出令牌时指定多个作用域，但这里的要点是B和C位于不同的域中，例如b.com和c.com。

谢谢和亲切的问候

科拉兹

Answer 1

1. 是的，这当然是可能的。
2. 从说明书中

资源服务器用于验证访问令牌(以及任何错误响应)的方法超出了本规范的范围，但通常涉及资源服务器和授权服务器之间的交互或协调。

因此，这完全取决于您的实现和令牌的类型，您只需确保访问令牌是由您的授权服务器发出的，并且仍然有效。拥有不同的域对此没有任何影响。

可能最广泛使用的实践是在资源服务器上进行数据库查找，以查看访问令牌是否存储在那里(因此是有效的)，并将该表与授权服务器同步(或者直接使用相同的数据库进行A、B和C)。3.见1. )