Ruby on rails 如何使用Doorkeeper限制OAuth2凭据授予类型流_Ruby On Rails_Doorkeeper

Ruby on rails 如何使用Doorkeeper限制OAuth2凭据授予类型流

ruby-on-rails

Ruby on rails 如何使用Doorkeeper限制OAuth2凭据授予类型流,ruby-on-rails,doorkeeper,Ruby On Rails,Doorkeeper,我正在使用来处理web应用程序中的OAuth2授权由于我是web应用程序的所有者，因此我应该能够仅使用客户端id和用户凭据来使用密码凭据授予类型我想知道是否有办法将允许使用此流的应用程序列为白名单我担心的是，如果没有办法将他们列入白名单，那么什么可以阻止一个邪恶的用户收集我的用户凭据？他可以使用我的客户机id令牌构建自己的身份验证接口。他基本上只需要请求用户凭据，并使用我的客户机id令牌，代表我向我的OAuth2提供商发送令牌请求我在这里遗漏了什么吗？你的担心是正确的，你是绝对正确的。D

我正在使用来处理web应用程序中的OAuth2授权

由于我是web应用程序的所有者，因此我应该能够仅使用

客户端id

和用户凭据来使用密码凭据授予类型

我想知道是否有办法将允许使用此流的应用程序列为白名单

我担心的是，如果没有办法将他们列入白名单，那么什么可以阻止一个邪恶的用户收集我的用户凭据？他可以使用我的

客户机id

令牌构建自己的身份验证接口。他基本上只需要请求用户凭据，并使用我的

客户机id

令牌，代表我向我的OAuth2提供商发送令牌请求

我在这里遗漏了什么吗？

你的担心是正确的，你是绝对正确的。Doorkeeper在授予密码时不需要客户端凭据，请参阅原因

当我对这个问题进行研究时，我偶然发现了以下几点：

第一个链接中建议的一个解决方案是：不要使用密码授权

另一个是：您可以在doorkeeper的资源所有者密码凭证授权的基础上实现

我知道我没有提供我自己的帮助，也没有复制粘贴一些参考文献，但由于我也在寻找答案，我认为没有理由让你没有。我知道这个问题由来已久，但仍然没有答案。希望这仍然能帮助一些人。

你的担心是正确的，你是绝对正确的。Doorkeeper在授予密码时不需要客户端凭据，请参阅原因

当我对这个问题进行研究时，我偶然发现了以下几点：

第一个链接中建议的一个解决方案是：不要使用密码授权

另一个是：您可以在doorkeeper的资源所有者密码凭证授权的基础上实现

我知道我没有提供我自己的帮助，也没有复制粘贴一些参考文献，但由于我也在寻找答案，我认为没有理由让你没有。我知道这个问题由来已久，但仍然没有答案。希望这仍然对一些人有帮助。

谢谢你的回答，我最终阅读了这篇文章，它对我帮助很大。谢谢你的回答，我最终阅读了这篇文章，它对我帮助很大