Может ли экран подтверждения области OAuth выбрать для пользователя?

Question

Я довольно новичок в OAuth и смотрю на идею службы, в которой пользователи имеют несколько профилей элементов. Я хотел бы, чтобы пользователь мог разрешить доступ к определенной информации в одном профиле, но не в других. Так что, а не просто список областей текста в представлении авторизации, можно ли отобразить список профилей, где они могут выбрать тот, к которому они хотят поделиться доступом? И можно ли передать эту информацию клиентскому приложению?

Аналогичная аналогия может заключаться в том, что клиентскому приложению может быть разрешен подробный доступ к одной организации GitHub, но не к каким-либо другим организациям, членом которых является пользователь.

Answer 1

В третьем абзаце 3.3. Access Token Scope в RFC 6749 говорится следующее.

Сервер авторизации может полностью или частично игнорировать сферу , запрошенной клиентом, на основе политики сервера авторизации или инструкции владельца ресурса в. Если выделенная область токена доступа отличается от запроса, запрошенного клиентом, сервер авторизации ДОЛЖЕН включать параметр «область видимости» области видимости, чтобы сообщить клиенту о фактической предоставленной области.

Таким образом, реализации сервера авторизации могут включать владельцев ресурсов в области выбора. Кроме того, вы можете ожидать, что параметр scope возвращается вместе с токеном доступа, когда предоставленные области действительно отличаются от тех, которые первоначально запрашивались клиентским приложением.