phantom_token_scopes
`phantom_token_scopes` 指令用于配置访问由 Phantom Token NGINX 模块保护的资源所需的作用域。
Phantom Token NGINX Module
·
location
语法phantom_token_scopes scopes;
默认值none
上下文location
参数1
说明
phantom_token_scopes 指令允许您指定一个以空格分隔的 OAuth 作用域列表,这些作用域会在生成对未授权请求的响应的 WWW-Authenticate 头时被包含。在后端 API 需要特定作用域以进行权限检查的场景中,这尤其有用。配置后,如果请求在没有适当授权的情况下到达某个端点,NGINX 将返回 401 Unauthorized,并在 WWW-Authenticate 头中包含所需的作用域,提示客户端提供具有相应作用域的必要凭据。
该指令必须放在 NGINX 的 location 块中,且只接受一个参数:以空格分隔的作用域字符串。这些作用域随后在模块进行令牌自省和认证流程时使用,有助于保持清晰的安全模型。对作用域的有效处理有助于客户端应用与服务器之间就访问控制进行更清晰的沟通,确保客户端知道访问特定资源时可用或所需的权限。
配置示例
location /protected {
phantom_token_scopes "scope1 scope2 scope3";
# Other configurations for the Phantom Token Module
}⚠
确保所指定的作用域已在后端服务中建立并被正确识别。
⚠
在作用域名称中避免使用空格和特殊字符,因为这可能导致请求头中的解析问题。