我正在使用 spring security oauth 为我公司的 REST API 实施 OAuth 2.0 提供程序。
出于某种原因,当使用 Token 端点 spring security oauth 时,要求客户端将其所需范围作为请求参数发送(这发生在 ClientCredentialsChecker.validateScope 方法中)。
据我了解有关Access Token Scope 的规范部分,范围参数是可选的,但是如果不存在范围,提供者可以决定授权请求失败。
我的问题是:
spring security oauth 选择对规范进行更严格的解释而不允许对其进行配置?谢谢
【问题讨论】:
标签: java security oauth spring-security oauth-2.0
我认为这里的问题实际上归结为范围绑定的概念。您说得对,规范声明范围参数是可选的,但是否必须在实现 OAuth 2 的服务中定义范围实际上取决于实现者(在本例中为 Spring)。
现在介绍范围绑定的概念。在实现范围或您希望能够从用户访问的信息时,您有两种基本类型 - 绑定和未绑定范围。使用绑定范围时,需要在创建应用程序并获取 OAuth 密钥和机密时定义范围。如果实现未绑定的范围(如 Spring),则需要在第一次重定向调用期间定义范围以获得用户身份验证。在许多没有定义范围的情况下,实现未绑定范围的服务将使用一组您可以访问的默认用户详细信息。看来,在 Spring 案例中,范围是必需的。
免责声明:我之前没有使用过 Spring 安全 OAuth 实现。
只是为了让您了解绑定和未绑定之间的区别,以下是一些示例:
Facebook 使用未绑定的范围来请求用户数据,因此他们的初始重定向请求可能如下所示:
//construct Facebook auth URI
$auth_url = sprintf("%s?redirect_uri=%s&client_id=%s&scope=email,publish_stream",
$authorization_endpoint,
$callback_url,
$key);
在 Gowalla 的情况下(当 Gowalla 仍然可用时),他们使用绑定到 OAuth 密钥的范围,因此当您发出初始请求时,不需要定义范围,给您一个请求看起来更像这样(注意缺少的范围参数):
//construct Gowalla auth URI
$auth_url = sprintf("%s?redirect_uri=%s&client_id=%s",
$authorization_endpoint,
$callback_url,
$key);
希望对你有帮助
乔恩
【讨论】: