【发布时间】:2015-07-25 20:56:22
【问题描述】:
我的需求:
- 让我们考虑同一域的 2 个最终用户。
- 用户 UA 是资源 RA 的资源所有者。
- 用户 UA 希望将资源 RA 的访问权限委托给最终用户 UB。
我对 OAuth 2.0 的主要兴趣来自全面的令牌控制(随时撤销等)。
OAuth 2.0 Framework 允许客户以其明确的权限代表资源所有者行事。
Oauth 2.0 定义了资源所有者和客户角色 (see the roles section),其中:
- 资源所有者可以是最终用户(可以授予对受保护资源的访问权限)。
- 客户端是一个应用程序,代表资源所有者发出受保护的资源请求。
在规范中,客户端始终被视为一个应用程序(没有特定的实现特征)。
我想知道是否可以以最终用户作为客户端角色来实施 OAuth 2.0,还是我完全滥用了 OAuth?
我的直觉是 OAuth 2.0 仅适用于第三方应用程序(具有互操作性),而不适用于同一域的 2 个最终用户。我对吗?另一方面,所有令牌机制都非常适合我的需求。
PS:这个expired OAuth specification (2010) 讨论了使用 OAuth 协议通过客户端将资源所有者的授权委托给另一个用户。但这并不重要。
【问题讨论】:
标签: oauth-2.0 authorization oauth-provider