我有一个可以访问个人文件的api。我拥有个人文件的人,并且我有一名顾问,可以通过oauth委派的访问令牌获得访问权限以查看个人文件。一个人可以通过撤消访问令牌来撤消对其个人文件的访问。如果顾问想要访问一个个人文件,这将很好地工作。但是,我该如何提出请求,使顾问可以检索他具有访问令牌的所有文件?
我建议客户端使用带有“”的授权给“授权服务器”的“客户端证书”授予scope,表示它希望获取所有当前已授予的访问令牌的访问令牌。然后,授权服务器将查询其授予客户端的访问令牌的数据库,并发出代表当前权限组合的访问令牌。
当然,这需要在客户端,授权服务器和资源服务器(API)端进行工作。没有不需要额外工作的“即用型”解决方案。
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句