Laravel OAUTH：限制用户请求他们想要的任何范围

When requesting an OAUTH Grant Password token, the user can specify his desired scope. How can one prevent a regular user from requesting and admin scope?

The code exemplifies a malicious request that asks for an admin scope, although he shouldn't have accesss to it.

curl -X POST \
    http://a.myapiserver.com/api/oauth/token \
    -F grant_type=password \
    -F client_id=2 \
    -F client_secret=PpMrx32Zow5OcQf491GXXT0dlEzMNuYHt6fe4Wdy \
    -F username=regularuser \
    -F password=strongpasss \
    -F scope=admin

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

1条回答默认最新

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
dreamfly0514 2018-10-26 09:19
关注
Problem has been solved by adding a middleware ScopeLogic and adding it to the passport::routes.

found the solution here: https://code.i-harness.com/en/q/259c0dd

本回答被题主选为最佳回答 , 对您是否有帮助呢?

解决无用
评论打赏
分享
举报

评论

按下Enter换行，Ctrl+Enter发表内容

报告相同问题？

关注问题

Laravel OAUTH：限制用户请求他们想要的任何范围 laravel php
2018-10-24 12:39

回答 1 已采纳 Problem has been solved by adding a middleware ScopeLogic and adding it to the passport::routes.
Laravel Tumblr OAuth - 无法请求资源 laravel php
2015-01-18 01:01

回答 1 已采纳 Oh my. I feel like such an idiot. In /app/config/packages/artdarek/oauth-4-laravel/config.php I
oriceon / oauth-5-laravel安装控制器请求错误 laravel php
2015-12-01 20:59

回答 1 已采纳 First up, I hope your view isn't calling a route- that's backwards. Routes are used immediately to
oauth2-server-laravel:支持 oauth2 的 Laravel 包
2021-06-21 09:22

我们不会打扰 Laravel 用户、身份验证、会话……我们更愿意将自己限制在具体的任务上。要求用户在 IDP 进行身份验证并处理响应。 SLO 请求的情况相同。安装 - 作曲家要将 Saml2 安装为用于 Laravel 4 的 ...
YouTube API OAuth无效请求 laravel php
2013-11-25 19:39

回答 1 已采纳 To put it simply, there are 2 steps (at least) you have to do: 1. pass the correct parameters to g
Google API - 来自Oauth2的令牌请求返回null令牌 laravel php
2016-03-11 10:08

回答 2 已采纳 I think the problem is you're not making the request to Google to authenticate and get back the to
请求令牌时我可以访问多个范围吗？ laravel php
2019-05-30 10:11

回答 1 已采纳 Just found out that you can pass scopes with spaces.. https://laravel.com/docs/5.8/passport#token-
Laravel-Twitch:用于Laravel的Twitch Helix API PHP包装器
2021-03-30 00:17

拉拉维（Laravel Twitch）适用于Laravel 5PHP Twitch Helix API包装器 :warning: 2020年5月1日变更自2020年5月1日起，Twitch要求所有请求均包含有效的OAuth访问令牌。这可以通过使用“ 请求OAuth令牌来实现。如果...
如何调试PHP cURL不会触发请求？ http laravel php
2017-10-25 01:35

回答 2 已采纳 SELinux is preventing the httpd process from making a network connection. setsebool -P httpd_can_
AWS Amazon Server：cURL错误无法解析主机 aws laravel php
2019-08-13 02:14

回答 2 已采纳 I found a solution: I used $http->post('https://api-a.mydomain.com' . '/oauth/token', [ Larav
使用GuzzleHttp进行HTTP POST方法调用时，php进程无响应 laravel php
2019-06-11 06:01

回答 1 已采纳 A couple of hours with 'Hit And Trial' does really save you 10 minutes of going through 'Documenta
laravel passport oauth 使用心得
2022-05-18 17:32

wsyh12345678的博客提示：现在基本都是前后端分离了，所以前端要调用后台的接口，就有个验证的过程，一般情况都是用户登录后，后台返回一个token，然后前端在每次请求后台接口的时候都通过请求头将该token传给后台，后台进行验证。...
Guzzle发布请求在浏览器中工作但不在应用程序中 laravel php
2014-06-05 18:21

回答 1 已采纳 There is someone else having a similar problem to what you describe here. It looks lithe the arra
Laravel使用Passport OAuth 用户登录认证
2020-04-14 09:46

Shine°的博客 composer require laravel/passport Passport 服务提供器使用框架注册自己的数据库迁移目录，因此在注册提供器后，就应该运行 Passport 的迁移命令来自动创建存储客户端和令牌的数据表： php artisan migrate 接下来...
php token作用域,laravel oauth 5种认证方式
2021-04-08 08:54

weixin_39855796的博客 laravel oauth 5种认证方式18-09-6 11:34:01丁宇聪13539最近需要做oauth方式认证，所以重新梳理一下laravel的passport组件oauth认证的5种方式及用途：####AuthServiceProvider.php中Passport::tokensCan方法作用：1...
没有解决我的问题, 去提问

悬赏问题

¥15 Matlab问题解答有两个问题
¥50 Oracle Kubernetes服务器集群主节点无法访问，工作节点可以访问
¥15 LCD12864中文显示
¥15 在使用CH341SER.EXE时不小心把所有驱动文件删除了怎么解决
¥15 gsoap生成onvif框架
¥15 有关sql server business intellige安装，包括SSDT、SSMS。
¥15 stm32的can接口不能收发数据
¥15 目标检测算法移植到arm开发板
¥15 利用JD51设计温度报警系统
¥15 快手联盟怎么快速的跑出建立模型

Laravel OAUTH：限制用户请求他们想要的任何范围

1条回答 默认 最新

悬赏问题

1条回答默认最新