我一直在研究一个API，该API的订单只能属于一个类别，并且我想授权该请求，以便登录门户网站的代理只能访问属于它们的订单。对于在这种情况下是使用基于声明的策略授权还是基于资源的策略授权，我有些困惑。

例如，如果将订单123分配给代理A，将订单456分配给代理B。我的令牌已经包含有关哪个代理正在尝试访问端点的信息。因此，如果代理商A已登录并尝试访问网址https://example.com/api/orders/123，则请求应通过授权；如果代理商A尝试访问的网址为https://example.com/api/orders/456，则策略应返回403禁止错误

有人可以在这里解释我应该使用基于索赔的授权还是基于资源的授权吗？还有为什么？

解决方法

暂无找到可以解决该程序问题的有效方法，小编努力寻找整理中！

如果你已经找到好的解决方法，欢迎将解决方案带上本链接一起发送给小编。

小编邮箱:dio#foxmail.com (将#修改为@）