我们正在使用身份服务器授予对API的访问权限。我们到目前为止所使用(或需要的)的仅是ClientCredentials(机器对机器),用户不参与。
现在,我们得到了用户应该参与并且必须提供用户权限的要求。
我已经阅读了很多关于授权类型的资料:Implicit、Authorization code、Hybrid 等等...但仍然没有找到最佳实践的清晰答案。
有没有办法将用户权限集成到access_token中(这也是一个好主意吗?)。AspNetIdentity已经集成在一起,并且表存在于identityserver数据库中。
现在,我们得到了用户应该参与并且必须提供用户权限的要求。
我已经阅读了很多关于授权类型的资料:Implicit、Authorization code、Hybrid 等等...但仍然没有找到最佳实践的清晰答案。
有没有办法将用户权限集成到access_token中(这也是一个好主意吗?)。AspNetIdentity已经集成在一起,并且表存在于identityserver数据库中。
services.AddIdentity<User, IdentityRole>()
.AddEntityFrameworkStores<IdentityContext>()
.AddDefaultTokenProviders();
如何发送客户端凭据和用户凭据以便我们的身份验证服务器也可以收集用户信息(权限、声明、角色等)?
非常感谢您的帮助。
谢谢