Wiosenny zakres oauth2 w stosunku do uprawnień (role)

Question

Używam Spring Security OAuth2 i obecnie zaimplementowano typy grantów client_credentials i password. Zauważyłem, że klient ma zarówno zasięg, jak i autorytety. Czy ktoś może wyjaśnić, na czym polega różnica? Mówiąc dokładniej, używam JDBCTokenStore, a schemat bazy danych ma tabelę oauth_client_details.

Również

W tabeli oauth_client_details, nie jestem pewien, co się następujące pola są wykorzystywane do:

web_server_redirect_url, access_token_validity, refresh_token_validity

Niektóre wyjaśnienie byłoby bardzo pomocne i cenione .

Answer 1

zauważyłem klient ma zarówno zakres i władze

klient ma tylko zakres, ale możemy rozważyć/używać go jako organy (ról). Wynika to z tego, że specyfikacja OAuth nie wyjaśnia konkretnego zastosowania zakresu.

Weź pod uwagę, że użytkownik upoważnia twitter do publikowania tweetów użytkownika na Facebooku. W tym przypadku twitter będzie miał zasięg write_facebook_status. Chociaż użytkownik ma uprawnienia do zmiany profilu użytkownika, ale to nie znaczy, że Twitter może również zmienić profil użytkownika. Innymi słowy zasięg to uprawnienia/role klienta, a nie organy/role użytkownika.

web_server_redirect_url

zostanie to wykorzystane przez serwer autoryzacji przekierować żądanie do pierwotnego adresu URL lub zwrotnego (dotacja autoryzacja) po udanej autoryzacji.

access_token_validity

jest token_access czas ważności sekund. Ustaw na -1 lub 0 dla nieskończoności. Jeśli ustawisz go na 60, to po 1 minucie twój token_access będzie nieprawidłowy. Musisz zażądać nowego tokena, wykonując proces autoryzacji lub użyj refresh_token.

refresh_token_validity

to refresh_token czas ważności.