我们具有以下结构:
UI-> API1-> API2-> API3-> DB
在此结构中,我们想在每一步上授权用户,因此我们使用了 以下设计:
现在,当用户通过UI登录到Identity Server时,客户端将获得一个 ID令牌和引用令牌。
此参考令牌将由API1上的中间层交换。由于令牌具有API1的作用域,因此可以访问API1端点。
我的问题是,它能够使用从Identityserver获得的令牌调用API2吗?
答案 0 :(得分:3)
除非访问令牌包含API2和API3的范围,否则您将不会自动获得对API2和API3的访问权限。
您可以避免使用扩展授权将API2和API3范围添加到原始令牌中。可以在这里找到更多信息:http://docs.identityserver.io/en/release/topics/extension_grants.html#refextensiongrants