请考虑以下事项:
登录安全网站。
登录后,显示指向另一个更安全页面的链接。
登录后,显示“全部删除”按钮。
一方面,您可以创建用于访问项目1的授权令牌T1,用于访问项目2的另一个令牌T2和用于访问项目3的令牌T3。这意味着如果用户希望能够执行所有三个,则用户必须拥有所有三个令牌(T1,T2,T3)。
另一方面,您可以为项目1创建授权令牌T1。然后您可以创建令牌T2,它允许您同时执行第1项和第2项。令牌T3允许您执行所有三项。这意味着用户只需要使用令牌T3来完成所有三个操作。
设计授权令牌及其可以访问的内容时,最佳做法是什么?
答案 0 :(得分:0)
不确定最佳做法,但对我而言,如果您可以更清楚地提供您的用例,您似乎可以更好地实施授权令牌。
此外,您可以使用OAuth2.0来帮助简化安全性实施。特别是使用OAuth2.0,您可以拥有一个通用的身份验证提供程序来证明身份,然后根据身份令牌将其与您的应用交换,以获得特定于该用户身份的授权令牌。
这样,用户只需登录一个提供商,然后通过OAuth自动获取白名单上的应用授权。