查看原文
其他

OAuth 2.0中的scope和RBAC中的role有什么关系

程序猿DD 2021-12-11

The following article is from 码农小胖哥 Author 请关注星标

使用了OAuth2.0授权协议之后我们在API的访问控制时又多了一个scope的概念。它和角色访问控制的作用类似,有点让人有点模糊不清。今天我们来理清楚这两个概念。

scope

scope是 OAuth 2.0 中的一种机制,用于限制客户端应用程序对用户帐户的访问。客户端应用程序可以请求一个或多个scope, 资源拥有者(终端用户)可以对客户端应用程序请求的scope进行拒绝、部分接受,通常是全部接受。客户端获得的访问令牌access_token将包含用户最终指示的scope。该access_token将只能访问其包含的scope限定的的资源。

httpSecurity.mvcMatcher("/message/**")
                .authorizeRequests(requests ->
                        requests.mvcMatchers(HttpMethod.GET,"/message/read")
                                .access("hasAuthority('SCOPE_openid')"))

简而言之,scope是用来定义客户端访问资源的范围的。

role

role是RBAC权限控制的重要概念之一。一方面它限制了资源的访问,资源该由那些角色访问;另一方面它确定了用户在应用程序中承担何种角色。它让资源和用户之间不再耦合,简化了权限的管理。role是从用户角度来进行访问控制的一种方式。

httpSecurity.mvcMatcher("/message/**")
                .authorizeRequests(requests ->
                        requests.mvcMatchers(HttpMethod.GET,"/message/read")
                                .access("hasAuthority('ROLE_USER')"))

两者的关系

从逻辑上讲,用户只是将自身有权限访问的API授权给了某个客户端应用。

httpSecurity.mvcMatcher("/message/**")
                .authorizeRequests(requests ->
                        requests.mvcMatchers(HttpMethod.GET,"/message/read")
                                .access("hasAnyAuthority('SCOPE_openid','ROLE_USER')"))

其实我们记住这一条就可以了:scope基于客户端应用,role基于用户,它们的作用都是访问控制被授权给第三方访问的API一定可以被该用户访问;能被该用户访问的API则不一定可以被授权给第三方访问。

推荐阅读

Spring OAuth2 授权服务器配置详解

2021-11-15

授权服务器框架Spring Authorization Server的过滤器链

2021-11-11

Spring新的授权服务器Spring Authorization Server入门

2021-11-09


推荐关注本文作者:码农小胖哥

分享高质量编程知识,探讨IT人生

技术干货,实战技巧,面试技巧,前沿资讯一个都不能少
: . Video Mini Program Like ,轻点两下取消赞 Wow ,轻点两下取消在看

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存