我正在我们的Webapi中实现身份验证/授权。目前正在进行基本的http身份验证 当然只是认证。
我们必须实施基于角色的授权。这样做的最佳做法是什么。
我正在考虑根据身份验证生成令牌并且想知道 如果在令牌中有任何信息可以告诉我有关用户,其角色,有效期等的信息。 每个请求都会来回传递此令牌。
如何检查此令牌的到期时间并提取信息。 我想不要将它存储在db中,以便为每个请求再次查询数据库以查看它是否已过期。 什么是正确的方法。
我愿意接受建议,并希望了解与此相关的内容。
我正在考虑设计我们的控制器,使得REST网址对我们服务的消费者是透明的。 在Controller / HttpHandler中,我们能够确定该id所属的角色并相应地提供数据。
请建议