保护多个 API
Protecting multiple API's
想象一下我们有一个 IdentityServer、一个 MVC 客户端和 2 个 API 的情况。所以有 2 API 个资源(Api1 和 Api2)。 Api2 是 Api1 的完整副本,但有一些自定义。现在管理员用户应该被授权访问两个 API,但另一个用户将只被允许访问 Api2。
向用户 Api1.Access 和 Api2.Access 添加声明并将其设置为相应 API 中的授权策略是否有意义?身份服务器是否为此提供了一些东西,例如基于用户添加 API 资源?
声明是关于身份 - 而不是权限。
您需要检查是否允许用户从 API.
中访问 API
https://leastprivilege.com/2016/12/16/identity-vs-permissions/
想象一下我们有一个 IdentityServer、一个 MVC 客户端和 2 个 API 的情况。所以有 2 API 个资源(Api1 和 Api2)。 Api2 是 Api1 的完整副本,但有一些自定义。现在管理员用户应该被授权访问两个 API,但另一个用户将只被允许访问 Api2。
向用户 Api1.Access 和 Api2.Access 添加声明并将其设置为相应 API 中的授权策略是否有意义?身份服务器是否为此提供了一些东西,例如基于用户添加 API 资源?
声明是关于身份 - 而不是权限。
您需要检查是否允许用户从 API.
中访问 APIhttps://leastprivilege.com/2016/12/16/identity-vs-permissions/