phantom_token_scope

Директива 'phantom_token_scope' в Phantom Token NGINX Module используется для определения OAuth-областей, которые должны быть включены в заголовок 'WWW-Authenticate' для ответов с кодом HTTP 401 Unauthorized. Это особенно важно для API, которые требуют определённых областей для авторизации, поскольку это позволяет клиентам понять, какие разрешения необходимы для доступа к конкретным ресурсам.

Когда вы задаёте эту директиву в контексте location, она позволяет указать значения областей, разделённые пробелами, которые приложение должно предоставить при запросе доступа. Например, если настроенные области включают 'read' и 'write', модуль сгенерирует заголовок ответа в формате: WWW-Authenticate: Bearer realm="example", scope="read write". Это информирует клиентов о том, что они должны включить эти области в последующие запросы, чтобы получить необходимые разрешения.

Корректное использование этой директивы повышает безопасность API, информируя запрашивающего о требуемых областях до того, как он попытается взаимодействовать с защищёнными ресурсами. Без правильного определения областей клиенты могут не знать необходимых разрешений, что приведёт к повторяющимся ошибкам 401, пока они не поймут, какие области требуются для авторизации.