开放式银行授权服务器是否应拒绝或接受范围为NULL的GET /token或/register端点请求?
当查看规范时,很明显"范围"不是强制性的,但是注册、作用域将根据所使用证书的内容进行验证。在没有授权特定范围的情况下,我预计在一个不成熟的服务器系统中,滥用/安全问题的风险会增加,因为验证例程可能还处于初级阶段。
我是不是有妄想症在不使用"范围"的情况下,是否存在机器对机器授权完全相关的有效场景?
作用域是客户端应用程序将要使用的功能。因此,如果没有提供作用域,则可以颁发令牌,但不能将其用于任何用途。我认为,如果您正在实现服务器端,您会拒绝使用这样的令牌进行的每一次调用(如果允许null作用域(。
但是,由于您希望针对客户端应用程序证书中的角色验证作用域,因此拒绝"作用域"是有意义的;制作令牌";和/或";注册";请求,以防证书不允许其中一个作用域,请求的任何作用域都与证书中的角色不匹配。
还考虑到Open Banking UK是基于OpenID Connect规范的;openid";范围是必需的:https://openid.net/specs/openid-connect-core-1_0.html#AuthRequest