【发布时间】:2014-06-06 11:45:26
【问题描述】:
我正在开发一个 API,它使用不记名令牌和声明来验证和授权我的用户。
一切都很好。但我想知道这个设置的角色管理。
我是否必须将角色存储为声明才能使 [Authorize(Roles="")] 属性起作用? 目前我在两个表中都有用户角色,AspNetUserRoles 和 AspNetUserClaims 因为如果该属性不在令牌中(不在声明表中),则该属性不会读取用户角色,将角色存储在两个表中似乎有点矫枉过正。
这是为什么呢?与用户相关的所有其他内容都可以通过 UserManager 访问,并且我认为角色将从相关实体中读取,而不是通过令牌。
【问题讨论】:
标签: c# asp.net authentication authorization claims-based-identity