Laravel OAUTH:限制用户请求他们想要的任何范围
Laravel OAUTH: Restrict users from requesting any scope they want
在请求 OAUTH 授予密码令牌时,用户可以指定他想要的范围。如何防止普通用户请求和管理范围?
该代码举例说明了一个要求管理范围的恶意请求,尽管他不应该访问它。
curl -X POST \
http://a.myapiserver.com/api/oauth/token \
-F grant_type=password \
-F client_id=2 \
-F client_secret=PpMrx32Zow5OcQf491GXXT0dlEzMNuYHt6fe4Wdy \
-F username=regularuser \
-F password=strongpasss \
-F scope=admin
问题已通过添加中间件 ScopeLogic 并将其添加到 passport::routes 中解决。
在此处找到解决方案:https://code.i-harness.com/en/q/259c0dd
在请求 OAUTH 授予密码令牌时,用户可以指定他想要的范围。如何防止普通用户请求和管理范围?
该代码举例说明了一个要求管理范围的恶意请求,尽管他不应该访问它。
curl -X POST \
http://a.myapiserver.com/api/oauth/token \
-F grant_type=password \
-F client_id=2 \
-F client_secret=PpMrx32Zow5OcQf491GXXT0dlEzMNuYHt6fe4Wdy \
-F username=regularuser \
-F password=strongpasss \
-F scope=admin
问题已通过添加中间件 ScopeLogic 并将其添加到 passport::routes 中解决。
在此处找到解决方案:https://code.i-harness.com/en/q/259c0dd