1 回答

TA貢獻1966條經驗 獲得超4個贊
一個可能的解決方案如下:
我怎樣才能實現第三個應用程序,以便它可以支持非特定的、自由式的權限? 使用包含用戶權限作為范圍的 JWT 令牌。
如何存儲這些權限?
在第三個應用程序上存儲您的用戶模型,以及每個用戶的權限/角色。
當用戶登錄時,他們將被重定向到您的第三個應用程序。身份驗證成功后,第三個應用程序可以生成 JWT 令牌形式的 access_token,其中包括用戶擁有的權限作為范圍。
然后,您可以讓前端在對客戶端應用程序的 API 請求中包含此 access_token??蛻舳藨贸绦蚩梢则炞C access_token 并檢查用戶的范圍/權限以確定用戶是否可以訪問某些數據。
我應該如何將權限轉移到客戶端應用程序? 您的客戶端應用程序可以在每個 API 請求中驗證/讀取 JWT 令牌中包含的范圍
我如何查詢一些權限? 不確定這意味著什么,我可以解釋 2 個不同的東西:
以Github為例,一個Github App可以指定自己需要
read
訪問和email
訪問(但不是write
訪問權限),用戶可以進行身份驗證,只能批準read
和email
訪問。在這種情況下,授權服務器 (Github) 將生成一個僅包含范圍的 JWTread
,email
即使用戶具有其他可用權限也是如此。如果您談論的是客戶端應用程序想要知道用戶是否具有特定權限,那么它可以只查看 JWT 中包含的范圍。您可能需要為客戶端應用程序中的每個端點定義所需的范圍。
我應該將所有權限存儲在第三個應用程序中并在每次用戶請求某些資源時查詢它們,還是應該將它們保存在本地并在某些時候更新它們?
每個用戶的權限可以存儲在第三個應用程序中,客戶端應用程序只信任 JWT 中包含的范圍。由于 access_token 應該是短暫的(例如它會在 1 小時后過期),因此可以通過更新 access_token 來處理用戶權限級別的更改。
添加回答
舉報