在通过JWT进行身份验证时,自定义范围(权限/声明)应该放在访问令牌还是id令牌中?看到它完成了两种方式,但不确定什么是最佳实践。
答案 0 :(得分:1)
我与Auth0社区小组合作,希望与您联系。当应用程序请求通过授权服务器访问资源的权限时,您可以构建scopes using Auth0,它使用scope参数来指定所需的访问权限,而授权服务器使用scope参数来响应以前的访问。实际授予的权限(如果授予的访问权限与请求的访问权限不同)。根据我的阅读,在与特定用户合作时,听起来scopes and claims可能是此处的直接目标。希望这对您有所帮助,但是如果您有任何疑问,请告诉我!