我是OIDC / OAuth2的新用户,我希望在服务器上设置IS4单点登录。我对设计有一个想法,但我不确定它是否正确使用了索赔。
我们有不同公司使用的多个应用。通常情况下,给定的身份只能访问单个公司的这些应用程序中的资源,但有些公司可能可以访问多个公司的资源(例如,为多个客户编写书籍的会计师)。
我当时正考虑将这些公司ID作为JWT的主张提供。这是否合适或是否有更普遍接受的方法来实现这一目标?
答案 0 :(得分:1)
我个人避免这种情况,并将内容的授权方保留在客户端应用或API中。即公司1和公司2的数据库说用户xyz可以访问它们并在本地进行检查。