Ruby on rails 如何使用Doorkeeper限制OAuth2凭据授予类型流
我正在使用来处理web应用程序中的OAuth2授权 由于我是web应用程序的所有者,因此我应该能够仅使用Ruby on rails 如何使用Doorkeeper限制OAuth2凭据授予类型流,ruby-on-rails,doorkeeper,Ruby On Rails,Doorkeeper,我正在使用来处理web应用程序中的OAuth2授权 由于我是web应用程序的所有者,因此我应该能够仅使用客户端id和用户凭据来使用密码凭据授予类型 我想知道是否有办法将允许使用此流的应用程序列为白名单 我担心的是,如果没有办法将他们列入白名单,那么什么可以阻止一个邪恶的用户收集我的用户凭据?他可以使用我的客户机id令牌构建自己的身份验证接口。他基本上只需要请求用户凭据,并使用我的客户机id令牌,代表我向我的OAuth2提供商发送令牌请求 我在这里遗漏了什么吗?你的担心是正确的,你是绝对正确的。D
客户端id
和用户凭据来使用密码凭据授予类型
我想知道是否有办法将允许使用此流的应用程序列为白名单
我担心的是,如果没有办法将他们列入白名单,那么什么可以阻止一个邪恶的用户收集我的用户凭据?他可以使用我的客户机id
令牌构建自己的身份验证接口。他基本上只需要请求用户凭据,并使用我的客户机id
令牌,代表我向我的OAuth2提供商发送令牌请求
我在这里遗漏了什么吗?你的担心是正确的,你是绝对正确的。Doorkeeper在授予密码时不需要客户端凭据,请参阅原因 当我对这个问题进行研究时,我偶然发现了以下几点:
我知道我没有提供我自己的帮助,也没有复制粘贴一些参考文献,但由于我也在寻找答案,我认为没有理由让你没有。我知道这个问题由来已久,但仍然没有答案。希望这仍然能帮助一些人。你的担心是正确的,你是绝对正确的。Doorkeeper在授予密码时不需要客户端凭据,请参阅原因 当我对这个问题进行研究时,我偶然发现了以下几点:
我知道我没有提供我自己的帮助,也没有复制粘贴一些参考文献,但由于我也在寻找答案,我认为没有理由让你没有。我知道这个问题由来已久,但仍然没有答案。希望这仍然对一些人有帮助。谢谢你的回答,我最终阅读了这篇文章,它对我帮助很大。谢谢你的回答,我最终阅读了这篇文章,它对我帮助很大