douqiao8370 2018-10-24 12:39
浏览 158
已采纳

Laravel OAUTH:限制用户请求他们想要的任何范围

When requesting an OAUTH Grant Password token, the user can specify his desired scope. How can one prevent a regular user from requesting and admin scope?

The code exemplifies a malicious request that asks for an admin scope, although he shouldn't have accesss to it.

curl -X POST \
    http://a.myapiserver.com/api/oauth/token \
    -F grant_type=password \
    -F client_id=2 \
    -F client_secret=PpMrx32Zow5OcQf491GXXT0dlEzMNuYHt6fe4Wdy \
    -F username=regularuser \
    -F password=strongpasss \
    -F scope=admin
  • 写回答

1条回答 默认 最新

  • dreamfly0514 2018-10-26 09:19
    关注

    Problem has been solved by adding a middleware ScopeLogic and adding it to the passport::routes.

    found the solution here: https://code.i-harness.com/en/q/259c0dd

    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论

报告相同问题?

悬赏问题

  • ¥15 matlab(相关搜索:紧聚焦)
  • ¥15 基于51单片机的厨房煤气泄露检测报警系统设计
  • ¥15 路易威登官网 里边的参数逆向
  • ¥15 Arduino无法同时连接多个hx711模块,如何解决?
  • ¥50 需求一个up主付费课程
  • ¥20 模型在y分布之外的数据上预测能力不好如何解决
  • ¥15 processing提取音乐节奏
  • ¥15 gg加速器加速游戏时,提示不是x86架构
  • ¥15 python按要求编写程序
  • ¥15 Python输入字符串转化为列表排序具体见图,严格按照输入