.jpg)
OAuth2.0應(yīng)用中,如何利用access_token精細(xì)控制接口訪問(wèn)權(quán)限,尤其是在A公司應(yīng)用嵌套B公司H5頁(yè)面,且H5頁(yè)面需要訪問(wèn)A公司用戶信息的場(chǎng)景下,至關(guān)重要。
通常,A公司應(yīng)用通過(guò)OAuth2.0授權(quán)獲得Access_token后,理論上可訪問(wèn)所有接口。為確保access_token僅限于訪問(wèn)特定接口,而非整個(gè)系統(tǒng),OAuth2.0的scope機(jī)制是關(guān)鍵。
scope定義了access_token的權(quán)限范圍。A公司應(yīng)用請(qǐng)求B公司H5頁(yè)面時(shí),可指定特定scope。用戶授權(quán)后,A公司發(fā)放包含相應(yīng)權(quán)限信息的access_token。資源服務(wù)器驗(yàn)證access_token時(shí),根據(jù)其中的權(quán)限信息決定是否允許請(qǐng)求。
例如,A公司僅允許第三方調(diào)用三個(gè)接口:獲取手機(jī)號(hào)、用戶姓名和身份證號(hào)。 這三個(gè)接口并非H5頁(yè)面可隨意訪問(wèn),需用戶明確授權(quán)。通過(guò)scope機(jī)制,A公司為這三個(gè)接口分別設(shè)置對(duì)應(yīng)的scope值。用戶授權(quán)后,生成的access_token將包含這些scope。B公司H5頁(yè)面使用此access_token時(shí),只能訪問(wèn)這三個(gè)已授權(quán)的接口,而無(wú)法訪問(wèn)其他A公司接口。
需要注意的是,scope機(jī)制控制的是H5頁(yè)面可訪問(wèn)的接口數(shù)量,以及用戶是否授權(quán)H5頁(yè)面訪問(wèn)這些接口。它有效地區(qū)分了這兩者,確保access_token的使用符合預(yù)期的權(quán)限限制。
.png)
