保护多个API

时间:2017-01-10 22:02:45

标签: c# asp.net-identity identityserver4

想象一下我们有一个IdentityServer,一个MVC客户端和两个API的情况。因此,有2个API资源(Api1Api2)。 Api2Api1的完整副本,但有一些自定义。现在,管理员用户应该被授权访问这两个API,但只允许其他用户访问Api2

向用户Api1.AccessApi2.Access添加声明是否有意义,并将其设置为相应API中的授权策略。身份服务器是否为此提供了一些内容,例如根据用户添加API资源?

1 个答案:

答案 0 :(得分:1)

声明是关于身份 - 而不是权限。

您需要检查是否允许用户从API中访问API。

https://leastprivilege.com/2016/12/16/identity-vs-permissions/