我正在学习Asp.Net Web API的基础知识,并开始着手解决身份验证领域。经过一些研究后,似乎正确的方向是OAuth2和JWT,这就是我开始学习的内容。 我现在已经完成了几个教程,最后一个教程是here,我发现这些教程非常有用。
此时我有一个功能认证服务器,它发布JWT和使用令牌的Web API端点,甚至根据令牌中定义的角色进行身份验证。我觉得我对基础知识有了深刻的理解,但它给我留下了一些我无法找到合适答案的问题。
如何处理管理多个对象的权限集的Web API?一个很好的例子是GitHub和repos;对于我有权访问的每个回购,我可以有不同的角色。
最初我认为解决方案只是在每个仓库的令牌中设置一个权利要求,并拥有该仓库的权限,但我有可能成为100s或repos的一部分,这将导致相当大的令牌。
我还考虑了一种混合方法,其中将声明放入令牌中,直到用户属于某个数量的repos,例如10,然后我只是在令牌中添加一个指示,说我需要查询db以获取列表权限。
我认为两者都有效,但他们都不对。我只是想知道这种用例是否有最好的做法,我确定之前有人已经回答了这个问题,但我很难找到正确的搜索条件来得到答案。感谢您提供的任何帮助。