Oauth 2.0 在WSO2IS中定义和验证自定义范围
我使用OAuth2.0对WSO2IS进行身份验证和授权。我在ESB上有多个API。在那里,用户可以授予对API1和API2的访问权,但不能授予对API3的访问权 是否可以定义自定义范围以限制客户端访问所有API 如果不可能,我如何保护API免受未经授权的访问Oauth 2.0 在WSO2IS中定义和验证自定义范围,oauth-2.0,wso2,wso2is,Oauth 2.0,Wso2,Wso2is,我使用OAuth2.0对WSO2IS进行身份验证和授权。我在ESB上有多个API。在那里,用户可以授予对API1和API2的访问权,但不能授予对API3的访问权 是否可以定义自定义范围以限制客户端访问所有API 如果不可能,我如何保护API免受未经授权的访问 旁注:目前,我只能通过定义不同的应用程序来限制访问。但是,这并不合适,因为我必须在客户端管理多个ClientID和clientSecrets。是。。你可以为此定义。。。默认情况下,Identity Server在授予访问令牌之前不会验证任何
旁注:目前,我只能通过定义不同的应用程序来限制访问。但是,这并不合适,因为我必须在客户端管理多个ClientID和clientSecrets。是。。你可以为此定义。。。默认情况下,Identity Server在授予访问令牌之前不会验证任何作用域参数。为此,需要根据资源服务器实现一个新的OAuth回调处理程序类。我想这个博客可以解释一下。但是,据我所知,WSO2 Identity Server不提供基于作用域的访问令牌。。访问令牌是按客户机和资源所有者发放的。不是每个客户端、资源所有者和范围。这已经在wso2公共邮件列表中讨论过,并将在下一版本中修复