在 oauth2 隐式授权类型中禁用同意
Disable consent in oauth2 implicit grant type
我们正在评估 WSO2IS 作为许多使用 OAuth2 的合作应用程序 (web/mobile) 的身份服务器。
对于 Web 应用程序(服务器端),我们使用具有用户凭据的授权类型密码和 clientId/Key 每个
Web 应用程序,一切正常,在这种情况下 Oauth2 不会征求用户同意。
但对于 JS 应用程序和移动设备,我们需要切换到隐式授权类型,因为无法安全地存储 clientKey。
在隐式授权类型场景中,会征求用户同意,尽管我不明白为什么我们处于
公司环境,要求用户同意访问用户公司资料很奇怪。
是否有禁用用户同意的解决方法?
在identity.xml中,我看到有一个:
<OAuth2ConsentPage>${carbon.protocol}://${carbon.host}:${carbon.management.port}/authenticationendpoint/oauth2_authz.do</OAuth2ConsentPage>
但是将此参数留空或其他设置不起作用,这可能已硬编码在 oauth2 应用端点中。
如果你有解决办法,请告诉我
此致,
尝试在 identity.xml
中将 SkipUserConsent 设置为 false
<SkipUserConsent>false</SkipUserConsent>
我们正在评估 WSO2IS 作为许多使用 OAuth2 的合作应用程序 (web/mobile) 的身份服务器。
对于 Web 应用程序(服务器端),我们使用具有用户凭据的授权类型密码和 clientId/Key 每个 Web 应用程序,一切正常,在这种情况下 Oauth2 不会征求用户同意。
但对于 JS 应用程序和移动设备,我们需要切换到隐式授权类型,因为无法安全地存储 clientKey。 在隐式授权类型场景中,会征求用户同意,尽管我不明白为什么我们处于 公司环境,要求用户同意访问用户公司资料很奇怪。
是否有禁用用户同意的解决方法?
在identity.xml中,我看到有一个:
<OAuth2ConsentPage>${carbon.protocol}://${carbon.host}:${carbon.management.port}/authenticationendpoint/oauth2_authz.do</OAuth2ConsentPage>
但是将此参数留空或其他设置不起作用,这可能已硬编码在 oauth2 应用端点中。
如果你有解决办法,请告诉我 此致,
尝试在 identity.xml
中将 SkipUserConsent 设置为 false<SkipUserConsent>false</SkipUserConsent>