OAuth2 Token Exchange与委托场景治理

--- title: OAuth2 Token Exchange与委托场景治理 keywords: - Token Exchange - RFC 8693 - 委托 - actor_token - audience description: 基于 RFC 8693 的 Token Exchange 支持委托与扮演场景，规范 subject/actor 与受众治理，降低越权风险。 categories: - 文章资讯 - 技术教程 --- # OAuth2 Token Exchange与委托场景治理 ## 概览 - Token Exchange 通过交换现有令牌获得新令牌，适用于服务代表用户或代表其他服务执行操作的委托场景。 - 需严格控制受众（audience）、资源（resource）与扮演者（actor）的边界与审计。 ## 技术参数（已验证） - 授权类型：`grant_type=urn:ietf:params:oauth:grant-type:token-exchange`（RFC 8693）。 - 请求参数：`subject_token`/`subject_token_type`、`actor_token`（可选）/`actor_token_type`、`audience`、`resource`、`requested_token_type`。 - 响应：返回新令牌与声明；服务端依据策略收敛权限，避免超越原令牌能力。 - 边界治理：对 `audience/resource` 白名单与最小权限；记录交换事件与链路审计。 - 兼容关系：与 DPoP/MTLS 可协同；对跨域调用需处理信任与转发路径。 ## 实战清单 - 在授权服务器实现策略化收敛与审计；为高风险场景设短期与窄权限令牌。 - 统一声明命名与受众管理；在网关观察交换频率与失败原因。 - 建立撤销与异常处置流程；对滥用进行速率限制与告警。