【发布时间】:2021-03-10 20:59:23
【问题描述】:
查看 OAuth 网站上对客户端凭据授予类型的说明:
客户端使用客户端凭据授予类型来获取用户上下文之外的访问令牌。
这通常被客户用来访问关于他们自己的资源而不是访问用户的资源。
如果客户端是受信任的应用程序(内部开发),它可以访问用户的资源吗?
从技术上讲,该应用不是这些资源的“资源所有者”,但因为它是内部开发的“超级”应用,所以为了实现组织的业务需求,它应该能够访问它们。
例如 - 想想您在 Google 中的用户。 Google 地图应用程序会创建您拥有的资源(例如您在地图上“保存”的位置)。然后,某些具有“超级”权限的 Google 守护程序应用可以访问您创建的这些资源,以便处理它们并向您展示相关广告。
这有意义吗?
谢谢!
西蒙。
【问题讨论】:
标签: security oauth-2.0 oauth authorization clientcredential