OAuth 2에서 얼마나 세분화 된 콘텐츠 권한을 적용합니까?

Question

신원 토큰을 통해 액세스 토큰 및 사용자 정보를 통해 액세스 권한을 부여하는 방법을 알고 있습니다.

신원 토큰에 역할 클레임을 추가 할 수 있습니다.

콘텐츠 당 권한 액세스에서 클레임 및 토큰 사용 방법을 알지 못합니다.

사용자 A는 id가 1 인 소유자 캘린더를 사용하고 사용자 B는이를 읽을 수 있다고 생각하십시오. Calendar.Read Calendar.Write Calendar.List

그러나 일정의 경우 (ID = 1) 우리는 원하는 :

사용자 B의 범위는 REST 서비스에 SPA throught를 액세스 할 수

은 Calendar.Read 스코프

OAuth에서이 사례를 어떻게 처리 할 수 ​​있습니까?

어떤 패턴이 있습니까?

이 경우 다른 프로토콜이 있습니까?

Answer 1

OAuth 2.0은이 유스 케이스도 처리 할 수 ​​있습니다. 다음 두 가지 옵션이 있습니다.

1. 예 : 예 : Calendar.1.Read
2. 가 인증 서버에서 검증/성찰을 필요로 불투명 베어러 액세스 토큰의 형식을 사용하고뿐만 아니라 그 전화에 자원을 식별자를 통과 (기억은 내용의 OAuth 2.0에 의해 정의되지 않고 동적 일 수 스코프) 액세스 토큰, 예 : Calendar.1 은 자원 식별자 및 범위는 토큰 액세스와 관련된 항 어레이와 제 될 수 Calendar.Read