Können wir einen einzelnen OAuth2-Client mit mehreren Ressourcenservern konfigurieren?

Question

Ich habe 3 verschiedene Anwendungen (Resource Server) in meiner Umgebung installiert und einer meiner Clients muss auf alle drei Anwendungen zugreifen. Was ist ein idealer Weg? Sollte ich meinen Client für jeden Resource Server separat registrieren oder sollte ich denselben Client für alle Resource Server registrieren?

Wenn ich separat registrieren dann brauche ich drei ClientId und geheim zu halten und aber für den zweiten Fall, den ich brauche nur eine Client-Anmeldeinformationen.

Was ist der ideale Weg, um solche Situation zu behandeln? Gibt es einen OAuth-Standard, in dem sie all diese Details beibehalten haben?

Answer 1

Unter der Annahme, die Ressource-Server alle mit dem gleichen Autorisierungsserver verbunden sind, sollten Sie eine Client-mit dem Autorisierungsserver registrieren.

Wenn die Ressource-Server sind alle Teil derselben Sicherheitsdomäne (das heißt von derselben Partei betrieben wird) dann ein einziger Zugriffstoken genügt, um alle drei Ressourcen-Server zugreifen zu können.

Wenn die Ressourcenserver irgendwie von verschiedenen Parteien kontrolliert werden und Sie vermeiden möchten, dass Zugriffstoken zwischen ihnen ausgetauscht werden, sollten Sie 1 Zugriffstoken pro Ressourcenserver verwenden, jedem dieser Ressourcenserver unterschiedliche Bereiche zuordnen und Ihren Client fragen lassen für eine bestimmte über den Anforderungsparameter "scope".