Laravel OAUTH：限制用户请求他们想要的任何范围

When requesting an OAUTH Grant Password token, the user can specify his desired scope. How can one prevent a regular user from requesting and admin scope?

The code exemplifies a malicious request that asks for an admin scope, although he shouldn't have accesss to it.

curl -X POST \
    http://a.myapiserver.com/api/oauth/token \
    -F grant_type=password \
    -F client_id=2 \
    -F client_secret=PpMrx32Zow5OcQf491GXXT0dlEzMNuYHt6fe4Wdy \
    -F username=regularuser \
    -F password=strongpasss \
    -F scope=admin

写回答
好问题 0 提建议
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

1条回答默认最新

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
dreamfly0514 2018-10-26 09:19
关注
Problem has been solved by adding a middleware ScopeLogic and adding it to the passport::routes.

found the solution here: https://code.i-harness.com/en/q/259c0dd

本回答被题主选为最佳回答 , 对您是否有帮助呢?

解决无用
评论打赏
分享
举报

评论

按下Enter换行，Ctrl+Enter发表内容

报告相同问题？

关注问题

Laravel Tumblr OAuth - 无法请求资源 laravel php
2015-01-18 01:01

回答 1 已采纳 Oh my. I feel like such an idiot. In /app/config/packages/artdarek/oauth-4-laravel/config.php I
oriceon / oauth-5-laravel安装控制器请求错误 laravel php
2015-12-01 20:59

回答 1 已采纳 First up, I hope your view isn't calling a route- that's backwards. Routes are used immediately to
YouTube API OAuth无效请求 laravel php
2013-11-25 19:39

回答 1 已采纳 To put it simply, there are 2 steps (at least) you have to do: 1. pass the correct parameters to g
oauth2-server-laravel:支持 oauth2 的 Laravel 包
2021-06-21 09:22

我们不会打扰 Laravel 用户、身份验证、会话……我们更愿意将自己限制在具体的任务上。要求用户在 IDP 进行身份验证并处理响应。 SLO 请求的情况相同。安装 - 作曲家要将 Saml2 安装为用于 Laravel 4 的 ...
如何撤销Google用户访问权限登录oauth laravel php
2017-06-07 19:15

回答 1 已采纳 you need to revoke the oauth token $client->revokeToken(); check the documentation when usi
Google API - 来自Oauth2的令牌请求返回null令牌 laravel php
2016-03-11 10:08

回答 2 已采纳 I think the problem is you're not making the request to Google to authenticate and get back the to
请求令牌时我可以访问多个范围吗？ laravel php
2019-05-30 10:11

回答 1 已采纳 Just found out that you can pass scopes with spaces.. https://laravel.com/docs/5.8/passport#token-
Laravel-Twitch:用于Laravel的Twitch Helix API PHP包装器
2021-03-30 00:17

拉拉维（Laravel Twitch）适用于Laravel 5PHP Twitch Helix API包装器 :warning: 2020年5月1日变更自2020年5月1日起，Twitch要求所有请求均包含有效的OAuth访问令牌。这可以通过使用“ 请求OAuth令牌来实现。如果...
如何调试PHP cURL不会触发请求？ http laravel php
2017-10-25 01:35

回答 2 已采纳 SELinux is preventing the httpd process from making a network connection. setsebool -P httpd_can_
使用GuzzleHttp进行HTTP POST方法调用时，php进程无响应 laravel php
2019-06-11 06:01

回答 1 已采纳 A couple of hours with 'Hit And Trial' does really save you 10 minutes of going through 'Documenta
AWS Amazon Server：cURL错误无法解析主机 aws laravel php
2019-08-13 02:14

回答 2 已采纳 I found a solution: I used $http->post('https://api-a.mydomain.com' . '/oauth/token', [ Larav
推荐使用：Laravel OAuth 2.0 服务器（适用于Laravel 5.2.x）
2024-05-12 09:38

荣正青的博客推荐使用：Laravel OAuth 2.0 服务器（适用于Laravel 5.2.x） oauth2-server-laravelAn OAuth 2.0 bridge for Laravel and Lumen [DEPRECATED FOR LARAVEL 5.3+]项目地址:...
laravel8:示范资料库
2021-03-15 09:34

【laravel8:示范资料库】 Laravel 8 是一个基于 PHP 的开源Web应用程序框架，以其优雅的语法和强大的功能而闻名。...如果你想要深入了解 Laravel，务必仔细研究提供的示例代码，并参考官方文档进行学习。
php token作用域,laravel oauth 5种认证方式
2021-04-08 08:54

weixin_39855796的博客 laravel oauth 5种认证方式18-09-6 11:34:01丁宇聪13539最近需要做oauth方式认证，所以重新梳理一下laravel的passport组件oauth认证的5种方式及用途：####AuthServiceProvider.php中Passport::tokensCan方法作用：1...
laravel passport oauth 使用心得
2022-05-18 17:32

wsyh12345678的博客提示：现在基本都是前后端分离了，所以前端要调用后台的接口，就有个验证的过程，一般情况都是用户登录后，后台返回一个token，然后前端在每次请求后台接口的时候都通过请求头将该token传给后台，后台进行验证。...
没有解决我的问题, 去提问

Laravel OAUTH：限制用户请求他们想要的任何范围

1条回答 默认 最新

1条回答默认最新