【发布时间】:2017-11-16 04:55:11
【问题描述】:
我目前使用 .NET Core Web API 创建了一个 Web api,并且我成功地发布了 JWT 令牌。我项目中的用户可以属于一个或多个“团队”,并且在每个“团队”中他们都有特定的角色。例如,用户 A 属于团队 T1 并且具有角色 ABC。
我想创建一个授权流程来确定用户是否是团队成员以及用户是否有足够的访问权限来执行该特定请求。
我最初的想法是,如果用户 A 不属于 T1 团队并使用 url /api/t1/action 进行 POST,我可以使用该 url 来确定请求的团队,然后进行某种比较使用 JWT 中的数据。
应该使用中间件、授权过滤器还是其他东西来完成?应用下一次检查时我应该使用什么。
请指教?
【问题讨论】:
标签: c# sql-server asp.net-core asp.net-web-api