我有几个应用程序,我将IdentityServer3设置为我的身份验证和授权服务器。
所有用户都无法访问某些应用程序....
让我们说:
那么,制定规则的最佳方法是什么? 我应该使用Scopes吗?或者我最好只使用索赔?
答案 0 :(得分:1)
IdentityServer允许通过ICustomRequestValidator接口自定义验证请求。您可以实现此操作并返回错误以防止用户获取客户端的令牌。
答案 1 :(得分:1)
我相信只有当您需要在identityServer级别控制用户对应用程序的访问权限时,CustomRequestValidator才有用。但大多数时候,应用程序决定让谁进入。 这就像改写你的问题一样,
因此,根据您的方案,在应用程序级别使用基于范围和声明的授权规则是一种很好的方法。