Ho una domanda generale riguardo a come gli ambiti nel protocollo OAuth2 sono gestiti Per una facile argomentazione, iniziamo con un esempio concreto:
Diciamo che ho un server OAuth A che voglio usare per proteggere due
API RESTful R1 e R2 . Questi due servizi hanno ambiti speciali che usano per concedere a un utente l'accesso ad alcune risorse protette. Quindi diciamo che R1 ha bisogno dell'ambito S1 e R2 ha bisogno dell'ambito S2 per accedere ad alcune risorse riservate.
Diciamo inoltre che il server OAuth A fa anche uso degli ambiti email e profile , sono necessari per accedere ai dati utente gestiti dal server OAuth stesso.
Ora ecco cosa ho difficoltà a capire. Per quanto posso vedere, il server OAuth A normalmente sa solo come gestire gli ambiti che lui stesso usa (in questo caso email e profile ). Ma per quanto riguarda gli ambiti richiesti per accedere alla funzionalità limitata sulle due API ( R1 ha bisogno di S1 e R2 ha bisogno di S2 )?
Devo registrare questi ambiti manualmente con il server OAuth (in modo che sappia che esistono e possono concedere loro se necessario)? Ciò significherebbe che ho bisogno di registrare tutti gli ambiti di tutte le API che voglio proteggere / utilizzare usando il server OAuth.
Queste ipotesi sono corrette? Se trovo qualcosa di sbagliato qui, forse qualcuno può aiutarmi spiegando come viene normalmente implementata l'intera gestione dell'oscilloscopio. Ho provato a google oauth2 e scopes ma sembra che non ci sia una buona spiegazione di come vengono gestiti esattamente gli ambiti nel protocollo.