我们希望设置一般身份验证服务,利用IdentityServer4,我们定义一组可以访问一个或多个api的用户。
用户将全局定义,但只能访问特定的api。
也许我错过了什么,但似乎并没有得到支持。如果用户通过身份验证并收到访问令牌,则他可以访问所有api。
我已阅读博文https://leastprivilege.com/2016/12/16/identity-vs-permissions/,我完全理解并同意授权应在客户端应用程序本身中处理,但是第一级检查用户是否可以访问API似乎微不足道我
之前我使用过Azure AD和ADAL,在Azure AD中,可以定义用户可以访问的应用程序(= IdentityServer4术语中的资源)。请求令牌时,您可以指定要访问的资源,如果用户无权访问该资源,则不会返回任何访问令牌。
谁能告诉我设置它的正确方法是什么?我们的大多数应用程序都是Angular SPA应用程序,因此我们使用隐式流程。
答案 0 :(得分:1)
我会建议你用这种方式做一些高级别的想法,
这样您就可以保持身份和授权的清晰和独立,并且只根据需要更新应用程序规则以映射常规权限
答案 1 :(得分:0)
您扫描设置可以访问不同API的不同客户端,用户只需对客户端进行身份验证,并且他们可以访问该API。这不会阻止user1对您不希望他们访问的API进行身份验证。
您还可以设置用户声明和策略,以防止不同用户访问不同的api。这样的事情将确保只有至少21岁的用户才能访问此API。
[Authorize(Policy = "AtLeast21")]
public class AlcoholPurchaseController : Controller
{
public IActionResult Login() => View();
public IActionResult Logout() => View();
}
可在此处找到更多信息Custom policy-based authorization
答案 2 :(得分:0)
正确的方法是使用Policy-based或Role-based授权。
身份服务器正在进行身份验证(检查客户端是否已注册,是否允许访问请求的范围,对用户进行身份验证并向其提供声明)但是由您的应用程序(客户端)授权user(基于声明中的角色,允许或不允许访问某种方法)。
在对IDS进行身份验证时,您可以选择检查clientID和用户,并编写一些自定义Profile Service,您可以在其中应用某些规则并拒绝用户。