想象一下我们有一个IdentityServer,一个MVC客户端和两个API的情况。因此,有2个API资源(Api1和Api2)。 Api2是Api1的完整副本,但有一些自定义。现在,管理员用户应该被授权访问这两个API,但只允许其他用户访问Api2。
向用户Api1.Access和Api2.Access添加声明是否有意义,并将其设置为相应API中的授权策略。身份服务器是否为此提供了一些内容,例如根据用户添加API资源?
答案 0 :(得分:1)
声明是关于身份 - 而不是权限。
您需要检查是否允许用户从API中访问API。
https://leastprivilege.com/2016/12/16/identity-vs-permissions/