---

title: OAuth2 Token Exchange：跨信任域令牌转换

keywords:

• Token Exchange
• RFC 8693
• 主体转换
• 范围下放
• 联合

description: 通过令牌交换在跨信任域场景下实现令牌类型与主体转换，安全下放范围并统一审计。

categories:

• 文章资讯
• 编程技术

---

OAuth2 Token Exchange：跨信任域令牌转换

概览

Token Exchange 支持将一个令牌交换为另一个受限令牌，实现跨域联合与后台代表访问。

技术参数（已验证）

• 请求：subject_token/actor_token 与 requested_token_type/scope 控制转换与下放。
• 安全：严格限制可交换来源与范围；记录审计事件。
• 兼容：与 OIDC/JWT 流程结合，实现端到端权限治理。

实战清单

• 在网关层封装交换流程与缓存；对高敏操作进行额外校验。
• 建立撤销与失效策略，降低滥用风险。