如何解决基于资源或声明的授权策略
我一直在研究一个API,该API的订单只能属于一个类别,并且我想授权该请求,以便登录门户网站的代理只能访问属于它们的订单。对于在这种情况下是使用基于声明的策略授权还是基于资源的策略授权,我有些困惑。
例如,如果将订单123分配给代理A,将订单456分配给代理B。我的令牌已经包含有关哪个代理正在尝试访问端点的信息。因此,如果代理商A已登录并尝试访问网址https://example.com/api/orders/123,则请求应通过授权;如果代理商A尝试访问的网址为https://example.com/api/orders/456,则策略应返回403禁止错误
有人可以在这里解释我应该使用基于索赔的授权还是基于资源的授权吗?还有为什么?
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。