Поток учетных данных клиента плагина Kong OAuth2 provision_key не проверен

Question

Я настроил плагин Oauth2 в Конге с потоком учетных данных клиента. Все конечные точки доступны и работают должным образом, за исключением того факта, что я могу запросить токен доступа из конечной точки {service} / oauth2 / token, не указав ключ Provisionkey в моем запросе на публикацию. (Он возвращает действительный токен, даже когда я только отправляю grant_type, scope, client_id и client_secret в качестве параметров)

Что-то нужно включить в конфигурации плагина? Или это как-то так определено, что в потоке учетных данных клиента (а именно, в конечной точке токена), provision_key не нужен?

Answer 1

provision_key требуется только в том случае, если вы также хотите указать authenticated_userid в запросе. Это специфичное для Kong расширение OAuth2, которое на самом деле не соответствует стандарту, поэтому я полагаю, что они решили не задокументировать его.

Если вы используете учетные данные клиента для того, для чего он предназначен - серверна серверную связь с сервером без явного пользовательского контекста - Kong примет запрос токена без provision_key, как указано в RFC OAuth 2.0.