如何通过 oauth 委托访问多个所有者的资源来发出单个请求?
How to make a single request with oauth delegated access to resources of multiple owners?
我有一个 api 可以访问个人文件。我有人拥有个人文件,我有一名顾问可以通过 oauth 委托访问令牌获得查看个人文件的权限。一个人可以通过撤销访问令牌来撤销对其个人文件的访问。如果顾问想要访问单个个人文件,这很好用。但是我如何发出请求,让顾问可以检索他拥有访问令牌的所有文件?
我建议客户端使用向授权服务器授予的客户端凭据,其中 scope 表明它希望为所有当前授予的访问令牌获取访问令牌。然后,授权服务器将查阅其授予客户端的访问令牌数据库,并颁发代表当前权限组合集的访问令牌。
当然,这需要在客户端、授权服务器和资源服务器 (API) 端进行工作。没有不需要额外工作的 "out-of-the-box" 解决方案。
我有一个 api 可以访问个人文件。我有人拥有个人文件,我有一名顾问可以通过 oauth 委托访问令牌获得查看个人文件的权限。一个人可以通过撤销访问令牌来撤销对其个人文件的访问。如果顾问想要访问单个个人文件,这很好用。但是我如何发出请求,让顾问可以检索他拥有访问令牌的所有文件?
我建议客户端使用向授权服务器授予的客户端凭据,其中 scope 表明它希望为所有当前授予的访问令牌获取访问令牌。然后,授权服务器将查阅其授予客户端的访问令牌数据库,并颁发代表当前权限组合集的访问令牌。
当然,这需要在客户端、授权服务器和资源服务器 (API) 端进行工作。没有不需要额外工作的 "out-of-the-box" 解决方案。