owin oauth如何拒绝持有client credential的token访问用户有关的api
0
悬赏园豆:30
[待解决问题]
@dudu在这篇博文中(http://www.cnblogs.com/dudu/p/4578511.html)提到有关如何处理这种情况,但是没有时候服务端如何处理这种情况。
比如有一个api是用户有关的保护,当客户端持有client credentials的token来访问的时候,服务端是如何处理的(如何拒绝这个请求的)
在Web API中验证的只是Access Token。
以Resource Owner Password Credentials Grant的方式(grant_type=password)获取的Access Token,不管是受保护的还是与用户相关的API,都可以使用。
以Client Credentials Grant的方式(grant_type= client_credentials)获取的Access Token,只能用于受保护但与用户无关的API。
对于客户端来说,只需持有1个Acess Token即可。
