Connexion: يجب أن يحتوي رمز OAuth المميز على جميع النطاقات المدرجة في مواصفات Swagger لمنح حق الوصول

تم إنشاؤها على ٢٢ يوليو ٢٠١٦ · 4تعليقات · مصدر: zalando/connexion

مرحبًا ، لدي سؤال بخصوص التنفيذ:
https://github.com/zalando/connexion/blob/master/connexion/decorators/security.py#L88
يتحقق من أن رمز الوصول يجب أن يكون له أي نطاق من قائمة النطاقات.

هل يجب أن يكون الشيك أكثر صرامة من خلال التحقق من أن النطاقات المعلنة هي مجموعة فرعية من نطاقات الرمز المميز؟

bug

مصدر

zd0

التعليق الأكثر فائدة

من الواضح أن هذا خطأ ويجب إصلاحه ، راجع https://github.com/OAI/OpenAPI-Specification/blob/OpenAPI.next/versions/2.0.md#securityRequirementObject .

يمكن أن يكون للكائن أنظمة أمان متعددة معلنة فيه وكلها مطلوبة (أي أن هناك منطقية AND بين المخططات).
...
إذا كان نظام الأمان من النوع "oauth2" ، فإن القيمة هي قائمة بأسماء النطاق المطلوبة للتنفيذ.

hjacobs في ٢٥ يوليو ٢٠١٦

👍2

ال 4 كومينتر

@ zd0 هذا هو بالضبط ما كان يفعله، أليس كذلك؟

rafaelcaricio في ٢٢ يوليو ٢٠١٦

@ zd0 أعتقد أنك على حق ، يجب أن تحقق من allowed_scopes <= user_scopes .

hjacobs في ٢٥ يوليو ٢٠١٦

استلمتها الان. في رسالة التسجيل التي كانت نية واضحة: https://github.com/zalando/connexion/blob/master/connexion/decorators/security.py#L89 ("أحد النطاقات المسموح بها")

إذا أردنا تغيير ذلك ، فهذا تغيير جذري مع الإصدارات القديمة.

rafaelcaricio في ٢٥ يوليو ٢٠١٦

من الواضح أن هذا خطأ ويجب إصلاحه ، راجع https://github.com/OAI/OpenAPI-Specification/blob/OpenAPI.next/versions/2.0.md#securityRequirementObject .

يمكن أن يكون للكائن أنظمة أمان متعددة معلنة فيه وكلها مطلوبة (أي أن هناك منطقية AND بين المخططات).
...
إذا كان نظام الأمان من النوع "oauth2" ، فإن القيمة هي قائمة بأسماء النطاق المطلوبة للتنفيذ.

hjacobs في ٢٥ يوليو ٢٠١٦

👍2

هل كانت هذه الصفحة مفيدة؟

0 / 5 - 0 التقييمات