标签: identityserver3 claims-authentication
我们正在使用Identity Server 3通过记录的PreAuthenticateAsync方法和acr_values来进行模拟功能,并且此方法正在成功地在不同用户的上下文中运行该应用程序。
问题是,在模拟此用户时,模拟者不应访问与他们正在模拟的用户相关联的所有声明,因为这些声明打开了对敏感数据的访问权限,这些数据甚至对于那些模拟用户也不应提供给其他用户。 是否可以以其他用户身份运行,然后在运行时限制或修改所加载的声明,而不会影响用户帐户?