При запросе токена OAUTH Grant Password пользователь может указать желаемую область действия. Как можно запретить обычному пользователю запрашивать и администрировать область?
Код иллюстрирует вредоносный запрос, который запрашивает область администратора, хотя у него не должно быть доступа к нему.
curl -X POST \
http://a.myapiserver.com/api/oauth/token \
-F grant_type=password \
-F client_id=2 \
-F client_secret=PpMrx32Zow5OcQf491GXXT0dlEzMNuYHt6fe4Wdy \
-F username=regularuser \
-F password=strongpasss \
-F scope=admin
Проблема была решена путем добавления промежуточного программного обеспечения ScopeLogic и добавления его в passport :: routs.
нашел решение здесь: https://code.i-harness.com/en/q/259c0dd
Других решений пока нет …