OAuth 2.0中的scope和RBAC中的role有什么关系

2023-04-04 12:57:09 浏览数 (2)

使用了OAuth2.0授权协议之后我们在API的访问控制时又多了一个scope的概念。它和角色访问控制的作用类似,有点让人有点模糊不清。今天我们来理清楚这两个概念。

scope

scopeOAuth 2.0 中的一种机制,用于限制客户端应用程序对用户帐户的访问。客户端应用程序可以请求一个或多个scope, 资源拥有者(终端用户)可以对客户端应用程序请求的scope进行拒绝、部分接受,通常是全部接受。客户端获得的访问令牌access_token将包含用户最终指示的scope。该access_token将只能访问其包含的scope限定的的资源。

代码语言:javascript复制
httpSecurity.mvcMatcher("/message/**")
                .authorizeRequests(requests ->
                        requests.mvcMatchers(HttpMethod.GET,"/message/read")
                                .access("hasAuthority('SCOPE_openid')"))

❝ 简而言之,scope是用来定义客户端访问资源的范围的。

role

role是RBAC权限控制的重要概念之一。一方面它限制了资源的访问,资源该由那些角色访问;另一方面它确定了用户在应用程序中承担何种角色。它让资源和用户之间不再耦合,简化了权限的管理。role是从用户角度来进行访问控制的一种方式。

代码语言:javascript复制
httpSecurity.mvcMatcher("/message/**")
                .authorizeRequests(requests ->
                        requests.mvcMatchers(HttpMethod.GET,"/message/read")
                                .access("hasAuthority('ROLE_USER')"))

两者的关系

从逻辑上讲,用户只是将自身有权限访问的API授权给了某个客户端应用。

代码语言:javascript复制
httpSecurity.mvcMatcher("/message/**")
                .authorizeRequests(requests ->
                        requests.mvcMatchers(HttpMethod.GET,"/message/read")
                                .access("hasAnyAuthority('SCOPE_openid','ROLE_USER')"))

其实我们记住这一条就可以了:scope基于客户端应用,role基于用户,它们的作用都是访问控制被授权给第三方访问的API一定可以被该用户访问;能被该用户访问的API则不一定可以被授权给第三方访问。

0 人点赞