OAuth2.0 中使用 access_Token 精細控制 API 訪問權限
OAuth2.0 廣泛應用于現代應用開發,尤其在跨應用共享用戶數據場景中。例如,A 公司的 App 嵌套了 B 公司的 H5 頁面,該頁面需要訪問 A 公司的用戶信息。B 公司通過 OAuth2.0 獲取了 A 公司的 Access_token,如何確保此 token 僅能訪問特定接口,而非 A 公司所有接口呢?
問題在于如何利用 OAuth2.0 限制 access_token 的訪問范圍,使其僅能調用 A 公司的特定接口(例如:獲取手機號、用戶真實姓名、用戶身份證),而不能訪問其他接口。
OAuth2.0 的 scope 機制完美解決了這個問題。scope 用于定義 access_token 的訪問權限。在授權過程中,我們可以通過 scope 參數明確規定 access_token 的權限范圍,從而限制其訪問的接口。
當 B 公司的 H5 頁面請求 A 公司用戶信息時,A 公司的授權端點 (authorization endpoint) 會向用戶請求授權。請求中包含的 scope 參數指定所需的權限:
GET /authorize? response_type=code& client_id=s6BhdRkqt3& redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb& scope=phone+name+idcard& state=xyz
scope=phone+name+idcard 表示僅請求獲取手機號、用戶真實姓名和身份證的權限。
用戶授權后,A 公司頒發包含特定權限的 access_token。B 公司的 H5 頁面使用此 token 請求 A 公司的資源服務器時,服務器會根據 token 中的權限決定是否允許訪問。如果請求的接口不在權限范圍內,服務器將拒絕訪問。
因此,scope 機制可以限制 access_token 的使用范圍,實現精細的接口訪問權限控制。這不僅限制了 access_token 的訪問范圍,還通過用戶授權確保了接口訪問的合法性,實現了雙重保護。
這種方法清晰地區分了 access_token 的訪問范圍和用戶的授權,是實現精細權限控制的有效手段。
