Используем ли мы «область» для типа предоставления клиентских полномочий? Почему?

Question

В большинстве типичных случаев использования OAuth2 область используется типом предоставления пароля владельца ресурса или потоком кода авторизации, где требуется логин пользователя.

Кажется, что область используется в основном для контроля доступа кресурс пользователя. Например, чтобы разрешить стороннему клиенту доступ к ресурсу владельца (пользователя) на другом сервере.

В некоторых случаях пользователь отсутствует. Например, компания хочет предоставить API только для другой компании. Учетные данные клиента используются. Большинство продуктов API-шлюзов имеют возможность управления подписчиками, чтобы контролировать, какой идентификатор клиента может получить доступ к каким API. В этом случае все еще имеет смысл использовать области OAuth для управления доступом к API? Почему?

Кроме того, я не могу найти никаких примеров, использующих области вместе с типом предоставления клиентских учетных данных. Это редкий случай использования?

Answer 1

Тип гранта Client Credentials используется для доступа к защищенным ресурсам, которыми обе стороны владеют / control / trust.

Области поддерживаются этим типом гранта. Как правило, они не используются, поскольку доверие уже существует, и ограничение этого доверия через области не требуется.

Другими словами, причина, по которой области не используются, заключается в том, что, если доверие отсутствует, другие типы предоставленияболее уместны.