想象一下我们有一个IdentityServer,一个MVC客户端和两个API的情况。因此,有2个API资源(Api1
和Api2
)。 Api2
是Api1
的完整副本,但有一些自定义。现在,管理员用户应该被授权访问这两个API,但只允许其他用户访问Api2
。
向用户Api1.Access
和Api2.Access
添加声明是否有意义,并将其设置为相应API中的授权策略。身份服务器是否为此提供了一些内容,例如根据用户添加API资源?
答案 0 :(得分:1)
声明是关于身份 - 而不是权限。
您需要检查是否允许用户从API中访问API。
https://leastprivilege.com/2016/12/16/identity-vs-permissions/