为本机 OAuth 提供者配置作用域

访问令牌包含特定作用域的授权。

关于此任务

客户机应用程序只能请求您在此处定义的作用域或作用域子集。作用域包含在通过提供者生成的访问令牌中。在调用 OAuth 保护的 API 时,网关会根据 API 的安全性定义中允许的作用域列表检查访问令牌中携带的作用域,以确定是否授予访问权限。

此外,您还可以强制执行高级作用域检查。在对 URL 配置的应用程序认证或用户认证完成之后,就会调用高级作用域检查 URL。 访问令牌授予的最终作用域许可权是所有作用域检查的结果。

根据 IETF RFC 6749 标准,作用域参数的值是空格分隔的区分大小写的字符串列表。有关更多信息,请参阅 OAuth 2.0 授权框架

需要以下某个角色才能为本机 OAuth 提供者配置作用域:

  • 组织管理员
  • 所有者
  • 具有设置 > 管理许可权的定制角色

过程

  1. API Manager 中,单击 资源 资源
  2. 选择 OAuth 提供者 > 本机 OAuth 提供者
  3. 完成基本步骤以定义 OAuth 提供者。在单击完成后,您将看到“高级”配置的侧边栏菜单。
  4. 在侧边栏菜单中选择作用域。将列出您在基本设置中配置的作用域。查看并更新基本作用域。
    字段 描述
    sample_scope_1 令牌的作用域
    其他作用域 令牌的作用域
  5. 令牌生成后进行高级作用域检查仅适用于 DataPower® Gateway(与 v5 兼容) 此设置在 API 使用者级别指定额外作用域检查,以验证是否符合 API 的作用域需求。
    字段 描述
    启用 选中此复选框以在令牌验证之后启用高级作用域检查。输入可选的缺省验证程序端点。
    从 API 覆盖端点 选中该复选框以从 API 覆盖端点。
    有关作用域的更多信息,请参阅作用域

结果

您可以使用具有上述作用域的 OAuth 提供者来保护目录中的 API。
父主题: 配置本机 OAuth 提供者
时间戳记图标 上次更新时间:2019-06-21