First version of scope cookbook #8
Conversation
Update jwt token exemple
There was a problem hiding this comment.
Bon, on rentre dans le coeur du sujet direct : est-ce vraiment une recette du cookbook ? 😅
Là j'ai l'impression qu'on est un peu loin du format "un problème BIM une solution", avec l'explication sur les roles/scopes etc.
Ca ressemble plutôt à un article, et d'ailleurs on a déjà l'article sur la sécu pour ça.
Par contre la partie intéressante amha c'est la fin, parce que là tu apportes une proposition de format simple.
Donc je recentrerais sur :
- problème = j'ai des access token pour mon API, comment je formatte les scopes ?
- réponse = resource:read/write (bim !)
en mettant en prérequis "je connais un peu oauth2, je sais ce qu'est un scope et un privilège" (+ lien vers l'article du blog ?)
et à la limite avec un warning "granularité" = la resource est la bonne granularité pour les scopes vs. les accreditations qui sont gérées dans l'appli
Mais attendons l'avis des autres !
|
|
||
| ### Scopes without end user | ||
|
|
||
| This scenarri describes the privileges of a client communicating with a resource server (back-to-back communication). |
There was a problem hiding this comment.
| This scenarri describes the privileges of a client communicating with a resource server (back-to-back communication). | |
| This scenario describes the privileges of a client communicating with a resource server (back-to-back communication). |
En effet, le titre et la description étaient trompeurs, l'objectif est de parler de scopes. J'ai donc changé un peu la formulation, et j'ai laissé la première partie afin de donner un peu de contexte. +1 : on voit ce qu'en pensent les autres, et on ajustera ! |
|
|
||
|  | ||
|
|
||
| I own a token to connect to the API, how should o name them and what they should control ? |
There was a problem hiding this comment.
je suggère name it
a token est au singulier et la fin de la phrase tu utilises them et they, je suppose que ça fait référénce à Scopes, roles and accreditations ? je suggère de les nommer directement ici
|
|
||
| I own a token to connect to the API, how should o name them and what they should control ? | ||
|
|
||
| In this use case, the user (resource owner) uses an web application (client) which consumes a protected API (resource server). |
There was a problem hiding this comment.
a web application au lieu de an web application
| I own a token to connect to the API, how should o name them and what they should control ? | ||
|
|
||
| In this use case, the user (resource owner) uses an web application (client) which consumes a protected API (resource server). | ||
| The OpenId/OAuth provider is out of scope. |
There was a problem hiding this comment.
je comprends pas bien cette phrase. peut-être il faudrait le dire dès le début que le token est récupéré via tel ou tel protocole
| Scopes are permissions that have been granted to the client | ||
|
|
||
| It’s a list of words which describe a subset of privileges of the resource owner. | ||
| The actual privileges of a client are the intersection of the scope and the privileges of the resource owner. |
There was a problem hiding this comment.
client's privileges et resource owner's privileges
No description provided.