0
什麼是編碼資源級別的權限爲JWT access_token的正規途徑?換句話說,你如何最好地編碼訪問其他人的資源?如何建模JWT OAuth2令牌中的資源級權限?
它是這樣的:
{
scopes: {
me: ['user', 'repo'], // My user
repo123: ['repo'], // Someone else's repo
org541: ['admin', 'repo'], // My org
org206: ['repo:read'] // Someone else's org
}
}
還是這個樣子,與命名空間範圍標籤(在這種情況下<resource>|<scope>:
{
scopes: ['me|user', 'me|repo', 'repo123|repo', 'org541|admin'... etc]
}
或者別的東西再
這同樣適用到「角色」或「會員」或類似的標籤(我意識到我已經混合了上面的例子) - 核心問題仍然是如何(最好)區分這些標籤每個資源在一個JWT access_token?
我是否理解正確的話,你必須對他們的訪問控制列表(ACL)某些對象。你想創建一個JWT來反映這些ACL在令牌發行時的狀態嗎?你爲什麼想這樣做? –
@JánHalaša是的,大致正確。目的是爲了封裝用戶的權限,不僅限於該用戶擁有的資源,還包括他們已被授權訪問的資源(例如,我邀請您編輯我的回購)。 – papercowboy