oauth-2.0 - 特定于资源的 OAuth2 授权的常见做法？

概述

在 OAuth 中，要求用户授予对单个资源的访问权限并不常见，而您通常会进行分类，从而使资源能够增长：

• 要求用户同意读取所有存储库的访问权限
• 要求用户同意读取移动应用程序的所有存储库的访问权限
• 要求用户同意读取所有 Typescript 存储库的访问权限

范围

客户端根据数据区域发送范围，以及可以使用该数据做什么：

authorize?scope='openid profile repo mobile'

授权的结果是将访问令牌发送到 API，其中可能包括以下范围：

{
"subject": 6789245,
"scope": "openid profile repo mobile"
}

• 如果有人试图使用访问令牌来获取 repo B（不是移动 repo）的详细信息，那么 API 的授权检查将阻止这种情况，这是基于范围的授权。

索赔

每当您想动态授权时，您都可以使用声明。如果您正在构建自己的系统，则可以根据对您有意义的任何业务逻辑，自定义令牌发行以将特定的存储库添加到访问令牌：

{
"subject": 6789245,
"scope": "openid profile repo mobile"
"repos": ["A", "C"],
}

• 如果有人试图使用访问令牌来获取 repo B 的详细信息，API 的授权检查会阻止这种情况，这是基于声明的授权。

数据访问

但是，您通常不会像这样在令牌中包含单个资源 ID，而是由您的 API 管理它们，这将在其数据访问中排除 repo B：

select * from repo where type='mobile' and subject=6789245

• 如果有人试图使用访问令牌来获取 repo B 的详细信息，API 的授权检查将阻止这种情况，因为它不会在过滤条件中找到。请注意，这也使用声明，以确保只有数据所有者才能获得 repo。

git 细节

当然，如果您使用的是其他人的系统，您将受限于它支持的授权选项，例如GitHub Scopes，而这些可能无法满足您的要求。因此，如果无法以所需的方式限制访问，您可能需要提示访问所有存储库。

更多信息

有关使用 OAuth 设计对资源的访问的更多信息，请参阅以下 Curity 文章：

• 范围最佳实践
• 理赔最佳实践

范围文章提到Prefix Scopes获取映射到特定 ID 的运行时范围，例如transaction-1234. 这是一个相当高级的主题，通常不会在 Git 存储库场景中使用——但这种模式在开放银行中使用。