问题描述
我目前正在开发一些将由外部(但不是公共)客户端后端调用的 API,并且我计划使用 API 管理来使用客户端凭据流 .
我的问题是:我有一些授权要求,允许客户仅请求某些特定类型的资源(例如我的资源是 /cars 并且一个客户被授权只能请求丰田,另一个是奥迪和丰田,等),我不知道这样做的最佳方法是什么。
这是一个未来可能会变得更加复杂的业务规则,所以我的第一直觉不是把它放在 API 管理中,而是放在我的资源服务器中。 收到的访问令牌中有关于客户端的信息,我可以将此标识符存储在我的数据库中并将其与访问令牌进行比较,但我不知道这样做是否是一个好习惯?
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)