.jpg)
OAuth2.0 中使用 access_Token 精細(xì)控制 API 訪問權(quán)限
OAuth2.0 廣泛應(yīng)用于現(xiàn)代應(yīng)用開發(fā),尤其在跨應(yīng)用共享用戶數(shù)據(jù)場(chǎng)景中。例如,A 公司的 App 嵌套了 B 公司的 H5 頁(yè)面,該頁(yè)面需要訪問 A 公司的用戶信息。B 公司通過 OAuth2.0 獲取了 A 公司的 Access_token,如何確保此 token 僅能訪問特定接口,而非 A 公司所有接口呢?
問題在于如何利用 OAuth2.0 限制 access_token 的訪問范圍,使其僅能調(diào)用 A 公司的特定接口(例如:獲取手機(jī)號(hào)、用戶真實(shí)姓名、用戶身份證),而不能訪問其他接口。
OAuth2.0 的 scope 機(jī)制完美解決了這個(gè)問題。scope 用于定義 access_token 的訪問權(quán)限。在授權(quán)過程中,我們可以通過 scope 參數(shù)明確規(guī)定 access_token 的權(quán)限范圍,從而限制其訪問的接口。
當(dāng) B 公司的 H5 頁(yè)面請(qǐng)求 A 公司用戶信息時(shí),A 公司的授權(quán)端點(diǎn) (authorization endpoint) 會(huì)向用戶請(qǐng)求授權(quán)。請(qǐng)求中包含的 scope 參數(shù)指定所需的權(quán)限:
GET /authorize? response_type=code& client_id=s6BhdRkqt3& redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb& scope=phone+name+idcard& state=xyz
scope=phone+name+idcard 表示僅請(qǐng)求獲取手機(jī)號(hào)、用戶真實(shí)姓名和身份證的權(quán)限。
用戶授權(quán)后,A 公司頒發(fā)包含特定權(quán)限的 access_token。B 公司的 H5 頁(yè)面使用此 token 請(qǐng)求 A 公司的資源服務(wù)器時(shí),服務(wù)器會(huì)根據(jù) token 中的權(quán)限決定是否允許訪問。如果請(qǐng)求的接口不在權(quán)限范圍內(nèi),服務(wù)器將拒絕訪問。
因此,scope 機(jī)制可以限制 access_token 的使用范圍,實(shí)現(xiàn)精細(xì)的接口訪問權(quán)限控制。這不僅限制了 access_token 的訪問范圍,還通過用戶授權(quán)確保了接口訪問的合法性,實(shí)現(xiàn)了雙重保護(hù)。
這種方法清晰地區(qū)分了 access_token 的訪問范圍和用戶的授權(quán),是實(shí)現(xiàn)精細(xì)權(quán)限控制的有效手段。
.png)
