OAuth2 - 受信任的客户端是否可以使用客户端凭据流访问用户资源

OAuth2 - Can a trusted Client access User resources with Client Credentials flow

查看来自 OAuth 网站的客户端凭据授权类型的解释:

The Client Credentials grant type is used by clients to obtain an access token outside of the context of a user.

This is typically used by clients to access resources about themselves rather than to access a user's resources.

如果客户端是受信任的应用程序(内部开发),它可以访问用户的资源吗?

从技术上讲,应用程序不是这些资源的“资源所有者”,但由于它是内部开发的“超级”应用程序,它应该能够访问这些资源,以实现组织的业务需求.

例如 - 想想您在 Google 中的用户。 Google 地图应用程序创建您拥有的资源(例如,您在地图上“保存”的地点)。然后,某些 Google 具有“超级”权限的守护程序应用可以访问您创建的那些资源,以便处理它们并向您展示相关广告。

这有意义吗?

谢谢!

西蒙.

是的,在我看来这是一个相当典型的场景。

对于受信任的客户端,还有一些额外的最佳实践需要考虑,例如将机密存储在密钥保管库中、按计划轮换机密、限制和记录管理员访问权限等。