如何使用 Doorkeeper 限制 OAuth2 凭据授予类型流

Question

我正在使用Doorkeeper 在我的 Web 应用程序中处理 OAuth2 授权。

由于我是 Web 应用程序的所有者，我应该能够仅使用 client_id 和用户凭据来使用密码凭据授权类型。

我想知道是否有办法将允许使用此流程的应用程序列入白名单？

我担心的是，如果没有办法将他们列入白名单，有什么办法可以阻止恶意用户收集我的用户凭据？他可以拿走我的client_id 令牌并用它来构建自己的身份验证接口。他基本上只是询问用户凭据，并使用我的client_id 令牌代表我向我的 OAuth2 提供者发送令牌请求。

我错过了什么吗？

Answer 1

您的担忧是合法的，您是绝对正确的。 Doorkeeper 在授予密码时不需要客户端凭据，看看为什么here。

当我对该主题进行一些研究时，我偶然发现了这些答案：

• https://github.com/doorkeeper-gem/doorkeeper/issues/561#issuecomment-73836639
• How to keep the client credentials confidential, while using OAuth2's Resource Owner Password Credentials grant type

第一个链接中建议的一个解决方案是：不要使用密码授权。

另一个是：您可以在门卫的资源所有者密码凭据授予之上实现custom client authentication。

我知道我没有提供我自己的帮助并复制粘贴一些参考，但由于我也在寻找答案，我认为没有理由让你没有答案。我知道这个问题很老，但仍然没有答案。希望这仍然对某些人有所帮助。