如何處理可能具有多個值的索賠？

Question

所以我可能會在這裏誤解的權利要求的建築，但如果我想添加特定的部門列表（部門ID），用戶可以編輯我可以創建一個要求：

new Claim("CanEditDepartment", "1")

但擴大上那麼，如果用戶可以編輯50/100部門，那麼我需要50個索賠嗎？

• new Claim("CanEditDepartment", "1")
• new Claim("CanEditDepartment", "2")
• new Claim("CanEditDepartment", "4")
• new Claim("CanEditDepartment", "23")

等

Answer 1

您使用的權利要求不正確。

你的聲明應該代表該人是誰。然後，您的應用應該查看這些聲明並將它們映射到權限，這是用戶可以對這些聲明執行的操作。

傳遞大量索賠會減慢一切，並且/或者是不可行的。當你添加更多的部門會發生什麼？當您的應用擁有更多權限時會發生什麼？你的問題中有JWT標記。你真的想在每個請求中傳遞如此大的代幣嗎？