我们目前有一个REST Web服务,其权限取决于角色和用户是谁(如果用户是学生,管理员或某个实体的作者)。此类权限是在控制器中检查。我们正在考虑使用诸如WSO2的身份服务器。
如果我们使用IS,我们应该将现有权限检查迁移到IS吗?如果是这样,我目前理解的是,它将添加开销,因为将验证每个请求。启发我
原始AIM OAUTH2是权限委派 - 用户允许应用程序访问其/她的资源或代表用户执行操作。OpenID Connec(OAuth2扩展)用于用户身份验证。
您有两种权限 - 与资源(实体)约束的角色和权限。您可能无法在OAuth2服务器上检查对资源的访问(例如用户是否是实体的作者),因为它不知道它。您可以将角色转换为单个动作(范围),并检查用户的访问令牌是否包含所需的范围。但是,您必须要求在用户身份验证上提供应用程序的所有可能范围。即使不访问服务器也可以验证某些形式的访问令牌和范围(JWT)。
您还可以将OAUTH2服务器仅用于身份验证,获取用户组列表,并根据用户角色和资源所有权保留现有的访问控制。这将使过渡变得容易,以后,如果您发现需要更多的东西,就不会浪费努力。