我在我的Web应用程序OnValidateIdentity中向Identity Sever的访问令牌声明中添加了特定于应用程序的声明。我正在抓取针对每个API调用查询数据库的登录用户的特定于应用程序的声明。我是否应该将特定于应用程序的声明注入Identity Server中的令牌(以减少数据库调用)?
答案 0 :(得分:1)
Identity Server令牌应仅包含有关用户的声明。收到令牌时,应该可以查询特定于应用程序的声明。如果需要考虑,可以引入缓存层来减少数据库调用。
但是,如果您确实有正当理由可以破解这些规则并在身份服务器上添加特定于应用程序的声明。 (例如:多个应用共享的设置)。