Are you an LLM? You can read better optimized documentation at /end-user-flows/consent-screen.md for this page in Markdown format
用户授权页
当第三方应用请求访问用户的受保护资源时,Code Bird Cloud 会展示一个用户授权页面(Consent Screen),让用户明确了解并授权应用将获取哪些权限。
概述
用户授权页是 OAuth 2.0 / OIDC 流程中的重要安全环节。在授权码流程中,当用户完成身份认证后,如果请求的 Scope 需要用户明确授权,系统会展示授权页面,列出应用请求的权限范围,由用户决定是否同意授权。
当前行为
第一方应用
对于在 Code Bird Cloud 管理后台创建的第一方应用(即平台自有应用),系统会自动授予用户同意,不会展示授权确认页面。这是因为第一方应用被视为可信应用,用户已通过登录操作隐式同意了权限授予。
自动授权的条件:
- 应用在管理后台注册为第一方应用
- 请求的 Scope 在应用允许的范围内
授权页展示内容
当需要展示授权页面时,用户将看到以下信息:
- 应用名称:请求授权的应用标识
- 请求的权限范围:应用请求访问的 Scope 列表
Scope 权限说明
用户在授权页面上看到的权限说明对应以下 Scope:
| Scope | 用户可见的说明 |
|---|---|
openid | 获取你的用户标识 |
profile | 获取你的基本资料(姓名、头像等) |
email | 获取你的邮箱地址 |
phone | 获取你的手机号码 |
offline_access | 保持登录状态(获取刷新令牌) |
urn:codebird:scope:organizations | 获取你所属的组织列表 |
urn:codebird:scope:organization_roles | 获取你在各组织中的角色信息 |
第三方应用授权
当 Code Bird Cloud 作为身份提供商(IdP)对外提供服务时,第三方应用接入会在用户完成认证后进入授权确认页面。
当前版本已支持:
- 展示应用名称与请求的 Scope 列表
- 用户明确选择“允许并继续”或“拒绝并返回”
- 拒绝授权时按 OIDC 标准回调客户端,并返回
access_denied prompt=consent场景下强制再次展示授权确认页
当前版本暂未支持:
- 用户按 Scope 粒度进行部分授权
- 在账户中心查看和撤销历史授权记录
- 为单个授权单独设置有效期
相关文档
- 注册与登录 -- 用户认证流程
- OIDC 登录流程 -- 授权码流程详解
- 传统 Web 应用集成 -- Scope 和 Claims 的完整说明