我想在oauth2中使用客户端凭据授权来保护API。
但是,我希望访问令牌映射到单个用户(由我选择,在我共享密钥/密钥的带外信任/设置阶段)。
这是一个问题吗?我知道使用客户端凭据授权的访问令牌不应该在用户的上下文中......以这种方式绑定它是不好的做法吗?
答案 0 :(得分:0)
这本身不是问题,至少在安全方面,尽管你可能称之为不好的做法。如果您确保以这样的方式分配客户端凭据,即保证将其绑定到授权该客户端的一个用户,则没有问题。请注意,实现这一目标的带外流程正是授权代码授权为您带来的。
当用户更改所需权限或删除用户帐户时,您还必须确保撤消客户端凭据,就像常规授权服务器为其刷新令牌所做的那样。