我目前正在开发一些将由外部（但不是公共）客户端后端调用的 API，并且我计划使用 API 管理来使用客户端凭据流 .

我的问题是：我有一些授权要求，允许客户仅请求某些特定类型的资源（例如我的资源是 /cars 并且一个客户被授权只能请求丰田，另一个是奥迪和丰田，等），我不知道这样做的最佳方法是什么。

这是一个未来可能会变得更加复杂的业务规则，所以我的第一直觉不是把它放在 API 管理中，而是放在我的资源服务器中。 收到的访问令牌中有关于客户端的信息，我可以将此标识符存储在我的数据库中并将其与访问令牌进行比较，但我不知道这样做是否是一个好习惯？

解决方法

暂无找到可以解决该程序问题的有效方法，小编努力寻找整理中！

如果你已经找到好的解决方法，欢迎将解决方案带上本链接一起发送给小编。

小编邮箱:dio#foxmail.com (将#修改为@）