我想在将其发送到服务器之前检查我的客户端应用程序是否用户有权执行某项操作。如果不在字段级别,则在页面级别。例如。拥有一个页面或页面的一部分,如果用户有权的话,该页面或页面的一部分仅显示给用户。
(注意:我确实了解客户端输入验证不是安全功能,而是用户减少往返行程并提高响应能力的便利功能)。 我将使用Keycloak作为我的OpenID Connect身份验证/授权服务器来获取身份,访问和刷新令牌,从而保护应用程序。
但是,由于身份令牌内没有太多信息,因此我看不到有可能将其用作客户端验证的来源。 从访问令牌(例如定义的范围)中获取此信息是否有效?