Question

При запросе токена OAUTH Grant Password пользователь может указать желаемую область действия.Как можно запретить обычному пользователю запрашивать и область действия администратора?

Код иллюстрирует вредоносный запрос, который запрашивает область администратора, хотя у него не должно быть доступа к нему.

curl -X POST \
    http://a.myapiserver.com/api/oauth/token \
    -F grant_type=password \
    -F client_id=2 \
    -F client_secret=PpMrx32Zow5OcQf491GXXT0dlEzMNuYHt6fe4Wdy \
    -F username=regularuser \
    -F password=strongpasss \
    -F scope=admin

George Geoker · Answer 1 · 26 октября 2018

Проблема была решена путем добавления промежуточного программного обеспечения ScopeLogic и добавления его в passport :: routs.

нашел решение здесь: https://code.i -harness.com / ru / q / 259c0dd

Laravel OAUTH: запретить пользователям запрашивать любую область, которую они хотят

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Laravel OAUTH: запретить пользователям запрашивать любую область, которую они хотят

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы