筆者近日瞭解到OIDC如何OAuth的2的頂部提供用戶身份,同時也成功地創造一個OIDC登錄到我的web應用程序。但是,對於授權部分,應用程序應該如何知道請求API的範圍尚不清楚。ID連接範圍/角色發現
例如,某些端點應與「管理」的範圍,以及應當從非管理員用戶隱藏相應的UI元素的保護。執行部分我可以輕鬆實現,但是當用戶登錄時,應用程序需要知道用戶是否是管理員 - 即是否要求「管理員」作用域/顯示與管理員相關的用戶界面部分。
有代表在來自IDP用戶配置文件應用程序特定的細節的任何標準的方式?最讓我感到困擾的是,據我所知,這些信息不能添加到來自Google/Twitter/Facebook的用戶配置文件中,因此需要a)額外的一層(IdentityServer/OpenAM/etc),或b)額外的Web應用程序數據庫中的用戶配置文件數據。
我的第一個想法是通過做a)添加自定義聲明 - 但是當涉及到與現有的IDP集成時,可能無法調整所有用戶配置文件(例如大型企業數據庫),因此我假設應用程序本身應該足夠靈活,可以將現有的用戶配置文件數據轉換爲「admin/not-admin」。
有沒有更好的解決方案?