---

title: OAuth2 Token Exchange与委托场景治理

keywords:

• Token Exchange
• RFC 8693
• 委托
• actor_token
• audience

description: 基于 RFC 8693 的 Token Exchange 支持委托与扮演场景，规范 subject/actor 与受众治理，降低越权风险。

categories:

• 文章资讯
• 技术教程

---

OAuth2 Token Exchange与委托场景治理

概览

• Token Exchange 通过交换现有令牌获得新令牌，适用于服务代表用户或代表其他服务执行操作的委托场景。
• 需严格控制受众（audience）、资源（resource）与扮演者（actor）的边界与审计。

技术参数（已验证）

• 授权类型：grant_type=urn:ietf:params:oauth:grant-type:token-exchange（RFC 8693）。
• 请求参数：subject_token/subject_token_type、actor_token（可选）/actor_token_type、audience、resource、requested_token_type。
• 响应：返回新令牌与声明；服务端依据策略收敛权限，避免超越原令牌能力。
• 边界治理：对 audience/resource 白名单与最小权限；记录交换事件与链路审计。
• 兼容关系：与 DPoP/MTLS 可协同；对跨域调用需处理信任与转发路径。

实战清单

• 在授权服务器实现策略化收敛与审计；为高风险场景设短期与窄权限令牌。
• 统一声明命名与受众管理；在网关观察交换频率与失败原因。
• 建立撤销与异常处置流程；对滥用进行速率限制与告警。