我有一套服务,到目前为止,所有这些服务都为一个客户提供服务。到目前为止,服务方法分为两类-安全/需要令牌的方法和任何人都可以访问的方法。安全方法具有分配给它们的[Authorize]属性,而非安全方法则没有。一切正常。我们正在使用基于身份服务器的身份验证服务和承载令牌身份验证。
现在,我想添加一个新客户端和一个或两个只能由该新客户端访问的新方法。在我的身份验证服务中定义新客户端非常容易。我想了解如何最好地为不同的客户授权不同的方法。我是否需要构建自己的自定义Authorize属性来检查客户端ID或更好的范围,并为这些新方法定义单独的范围?
我想这是最基本的问题:为不同的客户端授权不同的方法是否需要自定义的Authorize属性?这是典型的还是最好的方法,还是还有其他方法?