限制客户能够询问的 CF-UAA 范围
Limit the CF-UAA scopes a client able to ask
我最近在我的应用程序中使用 CF-UAA 的 OAuth2,当请求到达我的客户端时,我重定向到 CF-UAA 以生成一个访问令牌,我可以在其中请求不同的范围。我想知道我们如何限制客户可以要求的范围?
CF-UAA 中的范围是可扩展的还是固定的?
提前致谢
when the request comes to my client I redirect to the CF-UAA to generate an access token where I can ask for different scopes. I wanted to know how we can limit the scopes a client can ask for?
当您创建 UAA 客户端时,您将告诉它这个特定客户端应该能够使用的范围。如果您给客户端范围 "foo" 和 "bar",这就是客户端可以请求的所有内容。它无法请求 "baz" 因为它不在 UAA 中允许的范围列表中。
由管理员或创建 UAA 客户端的任何人来设置适当的范围列表。如果您不信任那个人,那么一开始就不应该允许他们创建客户端。通常,受信任的人会成为创建客户的人。
And are the scopes in CF-UAA is extendable or fixed?
范围只是字符串。这些字符串的含义由资源服务器应用。有一组固定的范围用于与已建立的服务(如 UAA 本身)交互或与 CF 交互。如果您正在创建受 Oauth2(资源服务器)保护的应用程序,那么您有责任决定哪些范围可用以及它们授予哪些权限。
例如,Cloud Controller(资源服务器)识别"cloud_controller.admin"、"cloud_controller.read"和"cloud_controller.write"。如果您将这些范围中的一个或多个分配给客户端,它可以获取它们并使用它们在 Cloud Controller 上执行各种操作。如果您尝试使用范围 "cloud_controller.god",则不会发生任何事情,因为 Cloud Controller 无法识别并向该范围分配权限。
希望对您有所帮助!
我最近在我的应用程序中使用 CF-UAA 的 OAuth2,当请求到达我的客户端时,我重定向到 CF-UAA 以生成一个访问令牌,我可以在其中请求不同的范围。我想知道我们如何限制客户可以要求的范围? CF-UAA 中的范围是可扩展的还是固定的?
提前致谢
when the request comes to my client I redirect to the CF-UAA to generate an access token where I can ask for different scopes. I wanted to know how we can limit the scopes a client can ask for?
当您创建 UAA 客户端时,您将告诉它这个特定客户端应该能够使用的范围。如果您给客户端范围 "foo" 和 "bar",这就是客户端可以请求的所有内容。它无法请求 "baz" 因为它不在 UAA 中允许的范围列表中。
由管理员或创建 UAA 客户端的任何人来设置适当的范围列表。如果您不信任那个人,那么一开始就不应该允许他们创建客户端。通常,受信任的人会成为创建客户的人。
And are the scopes in CF-UAA is extendable or fixed?
范围只是字符串。这些字符串的含义由资源服务器应用。有一组固定的范围用于与已建立的服务(如 UAA 本身)交互或与 CF 交互。如果您正在创建受 Oauth2(资源服务器)保护的应用程序,那么您有责任决定哪些范围可用以及它们授予哪些权限。
例如,Cloud Controller(资源服务器)识别"cloud_controller.admin"、"cloud_controller.read"和"cloud_controller.write"。如果您将这些范围中的一个或多个分配给客户端,它可以获取它们并使用它们在 Cloud Controller 上执行各种操作。如果您尝试使用范围 "cloud_controller.god",则不会发生任何事情,因为 Cloud Controller 无法识别并向该范围分配权限。
希望对您有所帮助!