Identityserver4 访问级别 实践

Question

我们正在寻找 3 种不同的访问级别，但不知道如何使用当前的 identityserver4 功能来实现它们。 有这些场景：

• 我们有一个上层管理系统，一些客户可以访问或不访问特定页面，例如管理员或客户（看起来像角色）
• 我们有列类型访问级别，例如，某些处于经理角色的用户可以看到或看不到特定的列/字段，或者处于相同角色的用户不应该看到在报告中查看一些列/行数据。
• 我们有记录级别，访问级别，例如，某些经理不应该看到其他分支机构客户列表。 （如政策）

整个过程应该是动态的，没有任何硬编码。为了做这些结构，我们应该在后端（中间件等）和前端（用剃须刀等）做一些代码。

任何想法如何使用 identityserver4 授权类型来实现这些？

Answer 1

IdentityServer的主要功能是处理用户的认证和全局授权：哪个客户端可以访问什么资源。

其他一切都可以被认为超出了 IdentityServer 的范围。请阅读this article 了解一些背景信息。

作为答案，他们创建了PolicyServer。

在OSS中版本授权变成了单独的（本地）机制，而付费版本将授权外包给单独的服务器。

使用resource-based authorization 扩展，您可以实现涵盖所有访问级别的授权。