如何解决创建令牌后,如何编辑令牌声明?
我有这个应用程序,登录后我会在其中获取令牌。我正在使用身份服务器 4。
我目前使用的是授权授予类型。
用户的角色在令牌中指定为声明。 但是,我想在登录后随时切换角色。 意思是,我想编辑令牌声明,在使用另一个角色时删除另一个角色。
我想要它是因为我们的安全。检测另一个会使 api 调用失败。 有什么我可以做的吗?
解决方法
就访问令牌的内容而言,这感觉像是一个数据设计问题:
- 您是否应该将用户的所有可能角色作为数组声明发布?
- 您是否还应该包括“can_change_role”声明,因为这感觉像是并非所有用户都拥有的特权?
我的目标是颁发一次令牌,然后您的应用应采取在您的 API 控制范围内的操作,并且不需要 OAuth 自定义。
此外,当声明高度特定于域并且经常更改时,最好将它们从访问令牌中排除并改为从您的 API 自己的数据中查找。
感觉有点像您可能进入了模拟领域,这在 OAuth 中可能是一个棘手的话题。更简单的一步可能是改进令牌数据。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。