为什么要使用建议的OpenID OAuth Extension而不是其他基于OAuth的协议?
发现似乎不是一个功能。尽管消费者只需要声明标识符即可开始认证过程,但任何授权仍然需要消费者知道访问令牌URL、签名方法,并与提供者共享密钥/密码。
其中一个好处是有一种指定特定授权的指定方式,即身份验证请求的openid.oauth.scope参数。这样做的一个具体好处是,仅限身份验证 - 仅为消费者提供的,没有可验证的令牌 - 可以免费定义并且可以执行,而无需担心跟踪未完成的令牌或它们可能需要的资源。
是否有使用替代方法来指定要请求的范围的示例,例如在OpenID发现中使用某些内容?或者可以通过某种REST导航在OAuth进程之前有效地处理此问题,从一个众所周知的URL开始解释超文本,以发现特定于所需范围的几个请求令牌URL之一?
我正在研究一种委派身份验证和授权系统,其中包含多个授权范围,这些范围与不同的交互相关。换句话说,消费者需要告诉提供者应该向用户展示哪些授权范围进行授权。