为啥spring-security-oauth oauth 2.0实现中需要scope参数

Posted 2023-02-27

【中文标题】为啥spring-security-oauth oauth 2.0实现中需要scope参数

【英文标题】：Why is the scope parameter required in spring-security-oauth oauth 2.0 implemenetation为什么spring-security-oauth oauth 2.0实现中需要scope参数

【发布时间】：2012-05-04 03:42:50

【问题描述】：

我正在使用 spring security oauth 为我公司的 REST API 实施 OAuth 2.0 提供程序。 出于某种原因，当使用 Token 端点 spring security oauth 时，要求客户端将其所需范围作为请求参数发送（这发生在 ClientCredentialsChecker.validateScope 方法中）。 据我了解有关Access Token Scope 的规范部分，范围参数是可选的，但是如果不存在范围，提供者可以决定授权请求失败。 我的问题是：

我是否正确理解规范允许提供商强制执行 范围？ 有谁知道为什么spring security oauth 选择对规范进行更严格的解释而不允许对其进行配置？

谢谢

【参考方案1】：

我认为这里的问题实际上归结为范围绑定的概念。您说得对，规范声明范围参数是可选的，但是否必须在实现 OAuth 2 的服务中定义范围实际上取决于实现者（在本例中为 Spring）。

现在介绍范围绑定的概念。在实现范围或您希望能够从用户访问的信息时，您有两种基本类型 - 绑定和未绑定范围。使用绑定范围时，需要在创建应用程序并获取 OAuth 密钥和机密时定义范围。如果实现未绑定的范围（如 Spring），则需要在第一次重定向调用期间定义范围以获得用户身份验证。在许多没有定义范围的情况下，实现未绑定范围的服务将使用一组您可以访问的默认用户详细信息。看来，在 Spring 案例中，范围是必需的。

免责声明：我之前没有使用过 Spring 安全 OAuth 实现。

只是为了让您了解绑定和未绑定之间的区别，以下是一些示例：

Facebook 使用未绑定的范围来请求用户数据，因此他们的初始重定向请求可能如下所示：

//construct Facebook auth URI
$auth_url = sprintf("%s?redirect_uri=%s&client_id=%s&scope=email,publish_stream", 
            $authorization_endpoint, 
            $callback_url, 
            $key);

在 Gowalla 的情况下（当 Gowalla 仍然可用时），他们使用绑定到 OAuth 密钥的范围，因此当您发出初始请求时，不需要定义范围，给您一个请求看起来更像这样（注意缺少的范围参数）：

//construct Gowalla auth URI
$auth_url = sprintf("%s?redirect_uri=%s&client_id=%s", 
            $authorization_endpoint, 
            $callback_url, 
            $key);

希望对你有帮助

乔恩

【讨论】：

您好乔恩，感谢您的回答。实际上，spring确实使用了绑定范围，本质上是我的客户端应用程序在注册时被赋予了一个范围，如果他们请求的范围与他们允许的范围不同（他们可以请求他们允许的任何子集）然后一个错误被抛出。我不明白的是为什么不允许不请求任何范围，然后在注册时同意默认的范围。

这实际上与 PayPal Access 使用的过程相同 - 您在应用程序中定义您想要的内容，然后在您提出请求时再次定义。实际上没有理由这样做，它可能只是为了额外的验证而实施的。我想告诉你，规范中有这样做的原因，但实际上没有——这只是他们选择这样做的方式。如果有帮助，我 100% 同意你的默认设置。这是 Facebook 使用的模型，我非常喜欢。