問題タブ [oauth2-server]

OAuth 2 サーバーを構築するとき、スコープをユーザーに関連付けることに問題はありますか? 基本的に、スコープがアプリケーションの役割として機能することを許可しますか?

RFCを見てきましたが、これに関するガイダンスが見つからないようです。

フローの使用例は次のようになります。

もう少し視覚的なコンテキストです。これは SQL データ表現です。

nodejs ( npm ) 用の oauth2-server プラグインを使用しており、次の構成があります。

(ヘッダーなし、クエリなし、本文なし) のパラメーターを送信せずに /oauth/token を GET すると、次のエラーが 500 - 内部サーバー エラーとして表示されます。

メッセージのコードには 400 (Bad Request) と表示されていますが、メッセージを 500 ではなく 400 応答として送信したいと考えています。

さらに、構成として debug: false があるにもかかわらず、コンソールにエラーが表示されます。どうすればそれを変更できますか?

私の質問はばかげているように見えるかもしれませんが、私は本当に理解していません.redirect_uriをリクエストからキャッチし、クライアントテーブルで指定されたURIと比較する目的は何ですか? セキュリティ上の問題によるものですか？

restivus を使用して実装された API プロバイダーである meteor プロジェクトでoauth2 -serverを使用したいと考えています。oauth2-server のドキュメントでは、明らかにモデル js ファイルをエクスポートする必要がある構成でモデルを要求するように指定しています。モデルをエクスポートできるように流星で module.exportを使用する方法

password と refresh_token 付与を使用して、前面に simple-ember-auth を実装し、背面に oauth2-server を実装しました。認可トークンの有効期限が近づくと (この時間はサーバーで設定されます)、simple-ember-auth はリフレッシュ トークン リクエストを発行し、新しい認可トークンを取得します。

それは素晴らしいことですが、一定の非アクティブ時間が経過すると、セッションを自動的に無効にする必要があります。現在、OAuth2PasswordGrantAuthenticator はトークン更新リクエストを無限に発行しているようです。

これを実装する方法についての提案や考えを歓迎します。