新项目,.net core 2 WebApi,使用身份服务器的实体框架。身份服务器使用权利要求中的角色为JWT服务,以确定对各种API的访问。一切都很好。
但是,有些API的情况是权限存储在某些数据库表中,我正在尝试找到有关如何处理此问题的最佳实践。有一个实体,为便于讨论而使用的小部件,每个用户可以看到/编辑的小部件都存储在db表中。因此,userA拥有这10个小部件的权限,userB拥有其他25个小部件的权限,依此类推。api的安全性如下:
[Authorize(Roles = "WidgetAdmin")]
所以问题在于API调用返回所有小部件。如何在db表中合并使用权限的逻辑?我的第一个想法是在涉及自定义权限的任何时候使用存储过程,并且该存储过程可以处理逻辑并返回正确的小部件列表。还是基于策略的授权是这里的方法?我在基于策略的身份验证中找到了一些示例,但不确定是否适合这种情况。