如何管理受保护的身份服务器的站点特定配置文件数据 API
How to manage site specific profile data for an identity server protected API
我们有一个新的 Web 项目,我们决定在其中使用 IdentityServer 作为集中式身份管理服务。这个想法是长期的,我们可以将其他项目迁移到这个并在一个地方维护用户。
该站点本身由一个 angular SPA(客户端)、一个 Web api 后端(api 资源)和一个单独的 aspnet 核心 MVC 站点 运行 标识组成服务器。
用户遵循 openid 连接流程,从前端重定向到身份服务器进行登录,然后使用生成的访问令牌连接到 API。
所有这些工作正常,我们可以从访问令牌中使用 API 中的基本用户数据,例如主题、电子邮件、姓名等。
到目前为止,还好。
问题是我们有一些特定于应用程序的额外配置文件数据 - 在原始设计(没有身份服务器)中,这些数据全部包含在单个 JWT 中,因此很容易从前端使用,后端或通过内置中间件,如 ASP.net identity.
我们的解决方法是客户端必须在登录后调用 API 以从 API 中检索单独的令牌,其中包含特定于此问题域的配置文件数据 - 例如权限以及用户在此系统中的角色。
我觉得这最后一步有点笨拙。例如,我们现在不能在 API 中使用 ASPNET 标识来获取角色,因为它们在第二个令牌中而不是访问令牌中。
是否有任何最佳实践或方法来处理这种情况?
例如我们应该让身份服务器在登录时从 API 请求配置文件数据,还是因为身份服务器不应该了解客户端的机制,所以这很糟糕?
有趣的问题。我相信在这种情况下我会使用 "single responsibility principal"。我会质疑谁有能力 "response-ability" 提供个人资料数据。如果这是您的应用程序,那么您正在朝着正确的方向前进,从 API 本身获取配置文件信息。如果它在身份提供者的能力范围内,那么请继续并在身份提供者中实施它。架构是关于决策的,一个好的架构可以让你轻松地改变这些决策,因此如果配置文件只适用于该应用程序,那么将它保留在该应用程序中。希望这是有道理的。
我会使用此处指定的解决方案:
这将允许您为您的身份添加额外声明。
我们有一个新的 Web 项目,我们决定在其中使用 IdentityServer 作为集中式身份管理服务。这个想法是长期的,我们可以将其他项目迁移到这个并在一个地方维护用户。
该站点本身由一个 angular SPA(客户端)、一个 Web api 后端(api 资源)和一个单独的 aspnet 核心 MVC 站点 运行 标识组成服务器。
用户遵循 openid 连接流程,从前端重定向到身份服务器进行登录,然后使用生成的访问令牌连接到 API。
所有这些工作正常,我们可以从访问令牌中使用 API 中的基本用户数据,例如主题、电子邮件、姓名等。
到目前为止,还好。
问题是我们有一些特定于应用程序的额外配置文件数据 - 在原始设计(没有身份服务器)中,这些数据全部包含在单个 JWT 中,因此很容易从前端使用,后端或通过内置中间件,如 ASP.net identity.
我们的解决方法是客户端必须在登录后调用 API 以从 API 中检索单独的令牌,其中包含特定于此问题域的配置文件数据 - 例如权限以及用户在此系统中的角色。
我觉得这最后一步有点笨拙。例如,我们现在不能在 API 中使用 ASPNET 标识来获取角色,因为它们在第二个令牌中而不是访问令牌中。
是否有任何最佳实践或方法来处理这种情况?
例如我们应该让身份服务器在登录时从 API 请求配置文件数据,还是因为身份服务器不应该了解客户端的机制,所以这很糟糕?
有趣的问题。我相信在这种情况下我会使用 "single responsibility principal"。我会质疑谁有能力 "response-ability" 提供个人资料数据。如果这是您的应用程序,那么您正在朝着正确的方向前进,从 API 本身获取配置文件信息。如果它在身份提供者的能力范围内,那么请继续并在身份提供者中实施它。架构是关于决策的,一个好的架构可以让你轻松地改变这些决策,因此如果配置文件只适用于该应用程序,那么将它保留在该应用程序中。希望这是有道理的。
我会使用此处指定的解决方案:
这将允许您为您的身份添加额外声明。