一个简单的场景我有一个典型的架构,客户端,授权服务器(OAuth服务器)和Resource Server.Client从使用client_credentials的授权服务器获取令牌,并将令牌发送到资源服务器并且它提供请求。如果我有2个API& #39;登录用户可以根据有效或无效令牌访问全部或全部。 是否有机制授予对1 API的访问权限?问题是,令牌可以是API特定的,因为它可以访问1 API而不是其他API。
答案 0 :(得分:0)
scope机制可用于区分与访问令牌关联的权限。例如。可能有API A的范围和API B的范围。客户端可以请求其中一个范围或两者,并且该标记对于分别调用两个API或仅其中一个API有效。
另请参阅:https://tools.ietf.org/html/rfc6749#section-3.3,其中没有说明scope的语义,但在实践中,范围几乎总是与(一组)权限相关联。