La limitación de autorizaciones simultáneas para una combinación usuario / consumidor en OAuth 2.0
https://stackoverflow.com/questions/4172134
-
09-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Estoy construyendo un servicio que actuará como un proveedor de OAuth 2.0. Quiero ser capaz de limitar el número de autorizaciones simultáneas que un usuario tiene para un consumidor específico.
Por ejemplo, cada usuario de una aplicación de consumo sólo debe ser capaz de tener, digamos, tres autorizaciones simultáneas para que los consumidores, y por lo tanto sólo será capaz de utilizar tres clientes al mismo tiempo. Cuando tratan y autorizan una cuarta vez debería pedir al usuario que retire la autorización de un cliente existente antes de que puedan continuar.
En mi experiencia limitada de OAuth, el token para una aplicación de consumidor siempre es el mismo para una combinación de usuario y del consumidor, y así no hay manera de revocar el acceso a clientes específicos -. Sólo los consumidores
¿Hay alguna disposición en OAuth 2.0 para la fabricación de una parte identificador de cliente de esa combinación, y por lo tanto parte de la ficha? Estoy interesado específicamente en OAuth 2.0 debido al flujo de agente de usuario.
O estoy ladrando al árbol equivocado por completo, y debería estar buscando a fijar sistema diferente en la parte superior de OAuth?
Solución
It seems like you could generate authorization-specific access tokens and include metadata about which client/authorization instance each refers to either on the token itself (encoded form of -1, etc.) or within your app (where each access token is unique). In fact, doing so could probably be considered an improvement over most provider implementations as individual clients could be recognized more easily (for abuse, etc.).
Tokens needn't take on any particular format, so you're free to overload them with as much or as little semantic information as you want and adapt your UI and UX to match.
