客户端注册¶
客户端注册用于定义 OpenASA 与你的应用或服务之间的信任边界。
角色拆分¶
| 角色 | 职责 |
|---|---|
| OpenASA | OAuth Provider / 认证服务 |
| 你的应用或服务 | OAuth Client / 依赖方 |
| 最终用户 | 通过 OpenASA 完成登录的账户拥有者 |
必需的客户端元数据¶
client_id- 受信任的
redirect_uri列表 - 允许的 scopes
- 后端自己的 token 处理策略
- 以稳定 OpenASA subject 为主键的本地用户映射策略
接入边界¶
如果你的服务要依赖 OpenASA 的 OAuth 能力,通常边界是:
- 浏览器跳转或应用登录从 OpenASA 发起。
- OpenASA 完成用户认证并建立授权状态。
- 你的服务接收 OpenASA 发出的 code、token、session 或 user profile。
- 你的服务把 OpenASA 用户身份映射到自己的本地账户模型。
推荐边界¶
- 用户认证与授权确认放在 OpenASA 一侧。
- 业务权限、租户权限、资源访问控制仍由你的服务负责。
- 将 OpenASA 的
sub或稳定用户 id 作为外部身份主键。
Provider 侧协议面¶
在 OAuth 能力层面,可将 OpenASA 视为暴露了 oauth agreement 中定义的标准 Provider 侧能力:
authorizetokenuserinfojwksrevoke
注意事项¶
redirect_uri、scope、client metadata 应按 OpenASA 的部署接入流程进行注册。- 回调处理应放在你自己的可信业务域名上。
- 不要只依赖 access token 原文做业务授权判断,应始终维护稳定的本地用户映射。