我们有一个在多租户计划上运行的平台。因此,我们在场景中将Tenant作为父级,将Users作为子级。我们正在使用Oauth身份验证方案在该平台上开发Rest API(我们现在有SOAP服务)。
我很想知道如何在第三方开发的每个应用上生成访问令牌。是每个用户还是每个租户?我的意思是,如果User2在Tenant1上授予对App-A的访问权限,那么这是否意味着如果User1希望使用App-A那么他将不会被授予访问对话框的权限提示?两个用户都住在同一个租户。
答案 0 :(得分:1)
这取决于您的具体用例,但我会将其与输入的凭据联系起来。因此,如果用户1和用户2具有不同的不同帐户,并且他们使用自己的登录/密码(或其他),则他们应该拥有自己的访问令牌。原因是每个用户使用的应用程序实例需要以访问令牌结束 - 因此在您的示例中,User2无论如何都必须通过oAuth舞蹈。
另一个更普遍的原因是,当你最终给不同用户不同的权利时,它可以保护你的未来。
希望有所帮助。