我们正在使用参考代币,并且需要在每个请求中提供声明和其他信息。例如,我需要能够使用Authorize或ResourceAuthorize来确保用户具有保护对某些控制器的访问的角色。我怎样才能真正做出这样的声明?
答案 0 :(得分:1)
如果您使用的是IdentityServer3.AccessTokenValidation中间件,则引用令牌将自动取消引用IdentityServer,并且声明将在您的Web API控制器代码的用户中提供(或者从AuthenticationManager中的用户处获得) OwinContext)。
声明将是创建引用令牌时生成的用户声明,并且每次取消引用令牌时都不会从用户服务更新声明。