OAuth2安全API的设计注意事项

Question

我将给出一个场景，作为我问题的前提：

• CRM客户端应用
• 客户API
• 保护API的IDP
• 客户api所需范围：“客户”
• 客户端应用OAuth2客户端具有“客户”范围访问权限
• CRM客户端应用程序请求范围为"customers“的令牌，并将API与令牌一起使用。

在某个时候，开发人员决定是时候将客户发票API重构为一个新的发票API，它现在需要范围“发票”。为了让Customers API将预期的结果返回给CRM客户端应用程序，它现在必须调用information并将这部分信息输出到调用应用程序中。因此，由于新的范围要求，传递令牌将无法工作。

客户API的最佳方法是，在不改变要求CRM客户端应用程序添加新范围的情况下，将预期的结果返回给CRM应用程序。

一种方法是让Customers API作为受信任的客户凭证进行身份验证，但是接下来如何对发起用户进行发票API？这里的想法是在不破坏现有客户端应用程序的情况下分离功能。

Answer 1

使用多跳或作为授权系统可以帮助您。如果我正确理解了您的场景是：Client -> API1 -> API2

如果您希望每个层都有自己的范围(根据您的描述)，那么act-as tokens将帮助您。

这方面的一个非常好的总结可以在IdentityServer样本问题#182中找到。您将在他们的Git存储库中找到该场景的一个示例。