我工作的公司开发了一套Web API,目前,我们使用Azure AD进行身份验证。
现在,我们需要制定授权。为简单起见,请说以下三个规则:
现在的问题是我们应该如何进行授权?
我们曾考虑过使用Azure AD,但这意味着我们必须在Azure Active Directory中创建这些用户并将其分配给不同的组。因此出于安全考虑,这对我们来说是行不通的。
如果我们要创建一个数据库来容纳这些用户并相应地分配令牌,授权将变得很容易,但是在那种情况下,是否有必要继续使用azure AD进行身份验证?更多成熟的Web api产品如何处理这种情况?