基于资源或声明的授权策略

时间:2020-10-21 01:40:39

标签: authorization api-authorization

我一直在研究一个API,该API的订单只能属于一个类别,并且我想授权该请求,以便登录门户网站的代理只能访问属于它们的订单。对于在这种情况下是使用基于声明的策略授权还是基于资源的策略授权,我有些困惑。

例如,如果将订单123分配给代理A,将订单456分配给代理B。我的令牌已经包含有关哪个代理正在尝试访问端点的信息。因此,如果代理商A已登录并尝试访问网址https://example.com/api/orders/123,则请求应通过授权;如果代理商A尝试访问的网址为https://example.com/api/orders/456,则策略应返回403禁止错误

有人可以在这里解释我应该使用基于索赔的授权还是基于资源的授权吗?还有为什么?

0 个答案:

没有答案