标签: oauth access-token auth0 rbac
我正在使用已启用RBAC的API,并且将访问权限包括在访问令牌中。我现在的问题是,当用户要从我们的平台提款时,我需要使用mfa。
在我打开RBAC之前,我可以请求自定义范围withdraw:funds,然后访问令牌将包括该范围,但是由于我在访问令牌上将RBAC包括以下范围:openid个人资料电子邮件。
现在我的问题是如何在访问令牌中同时包含来自用户的权限和所请求的作用域?
我需要使用权限,因为用户需要在使用我们的平台之前完成KYC流程,并且我要在用户完成此过程后设置权限。