【发布时间】:2019-03-14 08:34:53
【问题描述】:
作为使用 OAuth 的 API 生态系统的创建者,您希望允许通过可附加到访问令牌的范围来访问您的 API。因此,我的问题是:
- 如何定义范围?
- 您是否希望您定义的任何范围仅提供对单个 API 中的资源/方法的访问,还是应该包括跨多个 API 的访问?
- 您在 API 定义文件(如 Swagger/OAS 或 RAML)中与在某种 API 网关工具中定义范围的可能性有多大?
- 是否应该在特定 API 的上下文之外定义范围,作为单独的 OAuth 管理工具的一部分,以及 IdP 注册和客户端应用程序创建等内容?
我意识到对此可能有几种可能的答案和观点 - 这正是我正在寻找的。
感谢您的帮助!
【问题讨论】:
标签: oauth oauth-2.0 api-design scopes