作为资源服务器,我想让用户对他们的资源拥有更多的控制权。例如,考虑我有一个支持OAuth 2的云文件系统。用户可以代表自己向客户端提供访问文件的权限。我希望资源服务器提供对特定文件夹的访问,例如仅限照片而不是文档。文件夹名称是动态资源,因为在用户之间会有所不同。如何处理动态资源授权和动态范围?此外,如果范围是动态的,客户端如何知道请求它?* 在规范中找不到它 :(
最近我不得不熟悉OAuth / OIDC,并且现在我面临同样的问题-以下是我能想到的:
无论如何,这是我打算为自己的应用程序尝试做的事情-确实惊奇地发现在网上找不到任何相关资源。
在这里重新提出一个相当古老的问题,但我认为这个问题仍然存在。
需要记住的一个有用细节是,客户端请求的范围和资源所有者允许的范围不必相等。事实上,RO允许的范围甚至不必是所请求范围的子集。
在您的情况下,RO允许的范围可以是一组资源URL,根据请求的范围在授权步骤中由RO选择。然后,通过查看访问令牌中的值并理解它们的含义,资源服务器将能够动态地提供所请求的资源。