OAuth2 Token Exchange与委托场景治理

OAuth2 Token Exchange与委托场景治理概览Token Exchange 通过交换现有令牌获得新令牌，适用于服务代表用户或代表其他服务执行操作的委托场景。需严格控制受众（audience）、资源（resource）与扮演者（actor）的边界与审计。技术参数（已验证）授权类型：`grant_type=urn:ietf:params:oauth:grant-type:token-exchange`（RFC 8693）。请求参数：`subject_token`/`subject_token_type`、`actor_token`（可选）/`actor_token_type`、`audience`、`resource`、`requested_token_type`。响应：返回新令牌与声明；服务端依据策略收敛权限，避免超越原令牌能力。边界治理：对 `audience/resource` 白名单与最小权限；记录交换事件与链路审计。兼容关系：与 DPoP/MTLS 可协同；对跨域调用需处理信任与转发路径。实战清单在授权服务器实现策略化收敛与审计；为高风险场景设短期与窄权限令牌。统一声明命名与受众管理；在网关观察交换频率与失败原因。建立撤销与异常处置流程；对滥用进行速率限制与告警。