为匿名用户和经过身份验证的用户使用 JWT
Using JWT for anonymous and authenticated users
我正在尝试构建一个纯 JavaScript rest-client 应用程序,该应用程序必须支持从已经支持 JWT 的 REST 服务器匿名检索信息 [= =34=] 用于外部应用程序。该服务器已被支持 multi-tenancy 的其他客户端应用程序使用。实际上在JWT.
中嵌入租户信息
除此之外,该应用程序还需要支持用户(人类)想要将某些资源标记(或 select)为收藏夹,因此需要一种机制来 users/role 创建并进一步 authentication/authorization 给用户。但是这些用户不能隔离到单个租户,他们会想要使用跨租户 资源。
所以,现在我发现我需要使用 JWT 值进行匿名数据检索,当然应该是 tenant-agnostic。这意味着我必须创建一个具有特殊角色的用户,该用户仅具有只读资源的权限,但用户创建权限(当客户注册时)除外,这应该是 tenant-agnostic。当用户 log-in 进入系统时,JWT 应该替换为具有用户凭证的 JWT,再次与租户无关。我不确定这是否完全正确,所以我们应该如何处理这种情况?
我的另一个担忧是,我们有相同的 back-end 支持 人类客户 (tenant-agnostic) 和 [=20= 的身份验证和凭据存储]application clients (tenant-aware),所以为了处理这里的权限和租户限制,逻辑有点复杂。这可能只是我的印象,但我觉得在逻辑 and/or 数据存储中应该将应用程序用户和人类用户分开。
但我不完全确定,我想知道你们中的一些人是否有以前的经验或者对这个话题有一些想法?
您能否尝试以下方法,创建用户,为用户分配他们需要访问的租户的只读角色。
数据应该是这样的
User1 - tenant1 - 管理角色
用户 1 - 租户 2 - 数据 reader 角色
用户 1 - 租户 3 - 用户角色
在 jwt 中,我们确保用户已获得授权。然后我们获取可访问的租户列表,看他是否可以访问请求的租户数据w.r.to以上数据然后完成授权
HTH
我正在尝试构建一个纯 JavaScript rest-client 应用程序,该应用程序必须支持从已经支持 JWT 的 REST 服务器匿名检索信息 [= =34=] 用于外部应用程序。该服务器已被支持 multi-tenancy 的其他客户端应用程序使用。实际上在JWT.
中嵌入租户信息除此之外,该应用程序还需要支持用户(人类)想要将某些资源标记(或 select)为收藏夹,因此需要一种机制来 users/role 创建并进一步 authentication/authorization 给用户。但是这些用户不能隔离到单个租户,他们会想要使用跨租户 资源。
所以,现在我发现我需要使用 JWT 值进行匿名数据检索,当然应该是 tenant-agnostic。这意味着我必须创建一个具有特殊角色的用户,该用户仅具有只读资源的权限,但用户创建权限(当客户注册时)除外,这应该是 tenant-agnostic。当用户 log-in 进入系统时,JWT 应该替换为具有用户凭证的 JWT,再次与租户无关。我不确定这是否完全正确,所以我们应该如何处理这种情况?
我的另一个担忧是,我们有相同的 back-end 支持 人类客户 (tenant-agnostic) 和 [=20= 的身份验证和凭据存储]application clients (tenant-aware),所以为了处理这里的权限和租户限制,逻辑有点复杂。这可能只是我的印象,但我觉得在逻辑 and/or 数据存储中应该将应用程序用户和人类用户分开。
但我不完全确定,我想知道你们中的一些人是否有以前的经验或者对这个话题有一些想法?
您能否尝试以下方法,创建用户,为用户分配他们需要访问的租户的只读角色。
数据应该是这样的 User1 - tenant1 - 管理角色 用户 1 - 租户 2 - 数据 reader 角色 用户 1 - 租户 3 - 用户角色
在 jwt 中,我们确保用户已获得授权。然后我们获取可访问的租户列表,看他是否可以访问请求的租户数据w.r.to以上数据然后完成授权
HTH