0

承認のためにoauthサーバーを使用してプロジェクトにAPIを構築しています(https://github.com/bshaffer/oauth2-server-phpを使用しました)。ユーザーは独自のアプリケーションを作成し、iframe によってプロジェクトに統合できます。

API ユーザーには 2 種類の権限があります。

  1. アプリケーションから直接呼び出すことができる API メソッド (付与タイプ = client_credentials)

  2. アプリケーションが現在のユーザーに代わって API メソッドを呼び出すとき (ユーザーがアプリケーションのデータへのアクセスを許可するとき) (グラント タイプ=authorization_code)

私のプロジェクトには 2 種類のアクセス トークンがあり、今回使用しているトークン ユーザーの種類を検出し、ユーザーのアクションを許可または制限するにはどうすればよいですか?

p / s /英語が下手で、テキストに誤りがある可能性があることをお詫びします。

4

1 に答える 1

0

私のプロジェクトには 2 種類のアクセス トークンがあり、今回使用しているトークン ユーザーの種類を検出し、ユーザーのアクションを許可または制限するにはどうすればよいですか?

アクセス トークンの形式は、OAuth 仕様の一部ではありません。たとえば、JWTアクセス トークンの形式を選択できます。そのため、ユーザーに代わって発行されたアクセス トークンの場合、ユーザー名または電子メールをアクセス トークンのクレームとして持つことができます。そのため、リソース サーバー (API) で検証するときに、アクセス トークン ペイロードでこのクレームの存在を探すことができます。

于 2013-07-26T06:16:23.310 に答える