Kong OAuth2 插件客户端凭据流 provision_key 未验证

【问题标题】:Kong OAuth2 Plugin Client Credentials Flow provision_key not validatedKong OAuth2 插件客户端凭据流 provision_key 未验证
【发布时间】:2019-10-11 08:27:06
【问题描述】:

我已在 Kong 中使用客户端凭据流配置了 Oauth2 插件。所有端点都可以访问并且按预期工作,除了我可以从 {service}/oauth2/token 端点请求访问令牌而无需在我的发布请求中提供 provision_key。 (即使我只发布了 grant_type、scope、client_id 和 client_secret 作为参数,它也会返回一个有效的令牌)

我需要在插件配置中启用什么吗?还是以某种方式定义了客户端凭据流(即令牌端点),不需要provision_key?

【问题讨论】:

    标签: oauth-2.0 kong kong-plugin


    【解决方案1】:

    仅当您还想在请求中指定 authenticated_userid 时才需要 provision_key。这是 OAuth2 的 Kong 特定扩展,它并不真正符合标准,这就是为什么我猜他们选择不真正记录它的原因。

    如果您将客户端凭据用于其预期用途 - 没有明确用户上下文的服务器到服务器后端通信 - Kong 将接受没有 provision_key 的令牌请求,正如 OAuth 2.0 RFC 指定的那样。

    【讨论】:

      猜你喜欢
      • 2021-12-22
      • 1970-01-01
      • 2012-12-17
      • 1970-01-01
      • 2023-04-09
      • 2020-12-25
      • 1970-01-01
      • 2022-08-06
      • 2022-08-19
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode