我不确定OAuth世界中是否存在这种有效方案。 是否可以使用oauth令牌获得基于用户的权限?
我有一种情况,我需要在我的资源服务器上实现oauth,并让我的组织中只有很少的用户允许从我的服务器(资源服务器)访问api,就像我有其他一些资源服务器一样具有不同权限的用户对他们具有访问权限。
作为进入我服务器的访问令牌的一部分,我仅看到openId连接具有的默认作用域(openid电子邮件配置文件)。在这种情况下,我的身份验证提供程序是否应在基于客户端(资源服务器)上拥有所有用户级别的权限?还是资源服务器负责将用户映射到角色并仅使用oauth令牌进行身份验证?