Authentication 可信客户端OAuth令牌创建？_Authentication_Oauth_Oauth 2.0_Authorization_Soa

Authentication 可信客户端OAuth令牌创建？

authentication oauth oauth-2.0

Authentication 可信客户端OAuth令牌创建？,authentication,oauth,oauth-2.0,authorization,soa,Authentication,Oauth,Oauth 2.0,Authorization,Soa,TL:DR 我在VPC中有一个受信任的应用程序，我希望允许： POST/oauth/authorize？用户_id=U_123，客户端_id=xyz，客户端_secret=abdfd允许在假定客户端机密为机密的情况下无限访问任何用户的数据。有优先权吗我一直在实现一个面向服务的体系结构，其中一个我不太自信的部分是我们的应用程序身份验证和授权我们有一个到主API的内部应用程序，我们仅使用客户端凭据（id、secret）和用户id为trusted OAuth列出了该应用程序的白名单： POST/

TL:DR

我在VPC中有一个受信任的应用程序，我希望允许：

POST/oauth/authorize？用户_id=U_123，客户端_id=xyz，客户端_secret=abdfd

允许在假定客户端机密为机密的情况下无限访问任何用户的数据。有优先权吗

我一直在实现一个面向服务的体系结构，其中一个我不太自信的部分是我们的应用程序身份验证和授权

我们有一个到主API的内部应用程序，我们仅使用客户端凭据（id、secret）和用户id为trusted OAuth列出了该应用程序的白名单：

POST/oauth/authorize？用户\U id=U\U 123，客户端\U id=xyz，客户端\U secret=abdfd

本质上，这使得为给定用户生成oauth令牌成为可能，而无需密码，也无需显示授权页面

通过在混合中包含用户标识符，这允许使用特定于用户的令牌，并为我们提供了使单个用户的令牌无效的选项。通过这种方式，我们不必使整个应用程序无效，因此在安全级别上可能不会有任何妥协

可信客户端OAuth 2.0令牌创建是否具有任何优先级？

您描述的用例符合OAuth 2.0规范中标准化的客户端凭据授予：

用户标识符可以有效地作为

范围

值传入，该值允许访问该用户（资源所有者）的资源。这就是规范所称的“由先前与授权服务器一起安排的另一个资源所有者”控制的资源