如何解决API 客户端凭据和细粒度授权 ABAC
我目前正在开发一些将由外部(但不是公共)客户端后端调用的 API,并且我计划使用 API 管理来使用客户端凭据流 .
我的问题是:我有一些授权要求,允许客户仅请求某些特定类型的资源(例如我的资源是 /cars 并且一个客户被授权只能请求丰田,另一个是奥迪和丰田,等),我不知道这样做的最佳方法是什么。
这是一个未来可能会变得更加复杂的业务规则,所以我的第一直觉不是把它放在 API 管理中,而是放在我的资源服务器中。 收到的访问令牌中有关于客户端的信息,我可以将此标识符存储在我的数据库中并将其与访问令牌进行比较,但我不知道这样做是否是一个好习惯?
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。