>想象一下,我们有一个IdentityServer,一个MVC客户端和2个API。所以有 2 个 API 资源(Api1 和 Api2 )。 Api2是Api1的完整副本,但有一些自定义。现在,管理员用户应该有权访问这两个 API,但只允许其他用户访问Api2。
Api1.Access和Api2.Access添加声明并将其设置为相应 API 中的授权策略是否有意义。身份服务器是否为此提供了一些东西,例如基于用户添加 API 资源?
声明与标识有关,而不是权限。
您需要检查是否允许用户从 API 中访问 API。
https://leastprivilege.com/2016/12/16/identity-vs-permissions/