在身份验证请求中,如果用户以前同意某个客户端(针对特定的范围列表),并且可能会多次提示他们进行相同的授权。 ¿可以跳过它吗? ¿适用于代码和隐式流?. ¿多少时间记住同意?.
我对实现这一点的方式有点困惑。Oauth2草案说:
... and obtains an authorization decision
(by asking the resource owner or by
establishing approval via other means).
和OpenID草案说:
... this MAY be done through an interactive dialogue with the End-User
that makes it clear what is being consented to or by establishing
consent via conditions for processing the request or other means
(for example, via previous administrative consent).
我正在为 Django 开发 OpenID 提供程序实现。https://github.com/juanifioren/django-openid-provider
谢谢你的时间。问候。
同意是一件棘手的事情。不同国家有不同的规则,甚至同一个国家有不同的解释。但是,除了在 SSO 系统中处理同意的常见方法是在用户第一次从特定客户端出现时征求用户同意,然后询问是否应该记住该选择,或者它是否应该只有效一次。当然,如果用户说她的同意应该记住,她仍然应该有可能在以后重新绘制同意,但随后在正常的授权流程之外。
您应该仅在用户首次登录到特定客户端时请求对该客户端的批准,然后将其存储以供以后使用。在某些用例中,不需要用户同意,因为它可能是隐式的,例如,在用户使用内部客户端的企业设置中。