Как обрабатывать несколько клиентов и роли?

Question

Я работаю над сервером OAuth 2.0 для поддержки нескольких клиентов и ролей.

Предположим, у меня есть сервер API, для которого требуется токен доступа с сервера OAuth.

Эти рабочие процессы я придумал. У меня три функции для этого простого рабочего процесса: OAuth, Клиент и Сервер API.

1. Пользователей на каждом клиенте есть адрес электронной почты и пароль (эти учетные данные хранятся на OAuth-сервере)
2. пользователей подписываются в их адрес электронной почты и пароль на свои клиентах, то клиенты отправляют учетные данные на сервер OAuth для аутентификации ,
3. Сервер OAuth проверяет учетные данные и выдаёт токен доступа.
4. Когда пользователь запрашивает запрос на сервер API, сервер API ведет переговоры с сервером OAuth, чтобы узнать, имеет ли пользователь доступ к ресурсу. Если это так, выполните запрошенный запрос и верните что-то.

Это несколько необычный рабочий процесс, на мой взгляд. Причина, по которой я хочу сделать это, заключается в том, что мы фактически храним учетные данные пользователя на нашем сервере OAuth. У меня также есть несколько ролей (групп) для каждого клиента.

Это обходное решение OKAY или есть лучший способ для одного клиента OAuth + и нескольких ролей?

Answer 1

Что вы описываете, это эквивалент разрешения учетных данных пароля владельца ресурса в OAuth 2.0, см.: https://tools.ietf.org/html/rfc6749#section-1.3.3. Вы должны иметь возможность сделать это с помощью сервера авторизации OAuth 2.0, который поддерживает этот грант. Таким образом, это не является чем-то необычным или проприетарным, но требует большого доверия к клиенту, потому что он «видит» пароль.

Вы можете моделировать несколько ролей и групп, представляя их как разные «области», связанные с токенами доступа и, таким образом, клиентами.