Oauth2、范围和用户角色

Question

我在这里从概念上提出一个问题，因为我试图了解基于 OAuth2 的系统中范围和用户角色之间的关系。

在实现 API 时，我想通过对资源使用范围来限制对特定资源的访问。我了解使用访问令牌来请求资源，并且我相信我的理解是正确的，因为您在请求访问令牌时指定了您的范围。

我不完全确定的是如何根据经过身份验证的用户所处的特定角色来限制范围。假设 Bob 是管理员，Sue 是普通用户。我们有一些受 is_admin 范围保护的资源。是什么阻止了 Sue 在她的访问令牌中请求（和接收）is_admin 范围？

我认为应该发生的事情如下：

• Bob 进行身份验证。
• Bob 的角色在他的身份验证完成后进行查找。他的“管理员”角色附加了“is_admin”范围。
• Bob 请求一个访问令牌，其中包含从他的各个角色收集的所有范围
• Bob 会自动获得访问令牌的这些范围

是否由我的调用应用程序强制仅发送请求 Bobs 需要的范围？还是在范围方面我缺少什么？

有人可以用一些简单的例子来启发我吗？

Answer 1

在OAuth2中，有以下角色：

• 资源所有者 - 通常是某个人
• 身份验证提供程序 - OAuth2 服务器
• 资源服务器 - 需要访问令牌并验证其范围的 API
• 客户端应用程序 - 应用程序请求具有某些范围的访问令牌。

要了解 OAuth2，有必要将其视为从资源所有者到客户端应用程序的访问权限委派协议。所以主要用例是：客户端应用程序想要访问资源服务器。为此，客户端应用程序需要一个由 Auth 提供者颁发并由资源所有者授权的访问令牌（由 Auth 提供者进行身份验证）。

在您的描述中，缺少客户端应用程序。假设它是您的 API 的前端应用程序。它需要一个范围为admin-user-scope 或regular-user-scope 的访问令牌。因此它将用户（资源所有者）重定向到 Auth 提供者，同时请求两个范围。

身份验证提供者对用户进行身份验证，并要求他/她同意将某些请求的范围授予客户端应用程序。 Auth 提供者may remove some scopes - 例如非管理员的admin-user-scope。 Auth 提供者也可以让用户删除一些范围。

客户端应用程序在重定向 URI 中接收具有范围的访问令牌（或授权）。如果授予的范围与请求的范围不同，则身份验证提供程序会发送一个授予范围的列表（scope URL 参数）以及访问令牌，以便客​​户端应用程序知道它可以使用访问令牌执行哪些操作。

然后客户端应用程序可以访问资源服务器，并且资源服务器确保提供的访问令牌包含所需的范围。资源服务器使用 OAuth2 introspection endpoint 来验证令牌并获取其范围列表。