Как определить области для экосистемы API с OAuth?

Question

Как создатель экосистемы API с OAuth, вы хотите разрешить доступ к своим API через области, которые можно присоединить к токену доступа.Вот мои вопросы:

• Как ВЫ определяете область действия?
• Ожидаете ли вы, что любые определяемые вами области предоставляют доступ только к ресурсам / методам в рамках одного API или должныобласть действия включает доступ к нескольким API?
• Какова вероятность определения областей в файле определения API, например Swagger / OAS или RAML, в сравнении с каким-либо инструментом API-шлюза?
• Должны ли области бытьопределен вне контекста конкретного API как часть отдельного инструмента управления OAuth, наряду с такими вещами, как регистрация IdP и создание клиентских приложений?

Я понимаю, что на этот счет может быть несколько возможных ответов и перспектив -это именно то, что я ищу.

Спасибо за помощь!

Answer 1

Мой сервер OAuth2 имеет возможность создавать произвольные области.Области действия похожи на «роли», они описывают группы функциональных возможностей.

Сервер OAuth2 практически не знает, что это за области.Серверы API-ресурсов получают токены канала-носителя и на основе токенов канала-носителя выясняют, какие области связаны с ним, и принимают решение о том, что пользователь может и не может делать с этой областью, но для сервера OAuth2 они являются непрозрачными строками.

Мы не используем Swagger / RAML.