【问题标题】:IdentityServer4 and Hybrid flowIdentityServer4 和混合流
【发布时间】:2019-03-21 17:58:30
【问题描述】:

我们有以下结构:

UI -> API1 -> API2 -> API3 -> 数据库

在这个结构中,我们希望在每一步都授权用户,所以我们使用 以下设计:

  • 客户端 -> 范围为 API1 的 UI
  • API 资源 -> API1 API2 API3

现在当用户通过 UI 登录到 Identity Server 时,客户端会得到一个 Id token 和 Reference token。

此参考令牌将由 API1 上的中间层交换。由于令牌具有 API1 的范围,因此它可以访问 API1 端点。

我的问题是,它能否使用从 Identityserver 获得的令牌调用 API2?

【问题讨论】:

    标签: identityserver4


    【解决方案1】:

    除非访问令牌包含 API2 和 API3 的范围,否则您不会自动获得对 API2 和 API3 的访问权限。

    您可以通过使用Extension Grant避免将 API2 和 API3 范围添加到原始令牌。更多信息可以在这里找到:http://docs.identityserver.io/en/release/topics/extension_grants.html#refextensiongrants

    【讨论】:

      猜你喜欢
      • 2020-02-14
      • 1970-01-01
      • 2021-06-10
      • 2019-07-21
      • 1970-01-01
      • 2016-02-25
      • 1970-01-01
      • 2017-12-11
      • 1970-01-01
      相关资源
      最近更新 更多