0
什么是编码资源级别的权限为JWT access_token
的正规途径?换句话说,你如何最好地编码访问其他人的资源?如何建模JWT OAuth2令牌中的资源级权限?
它是这样的:
{
scopes: {
me: ['user', 'repo'], // My user
repo123: ['repo'], // Someone else's repo
org541: ['admin', 'repo'], // My org
org206: ['repo:read'] // Someone else's org
}
}
还是这个样子,与命名空间范围标签(在这种情况下<resource>|<scope>
:
{
scopes: ['me|user', 'me|repo', 'repo123|repo', 'org541|admin'... etc]
}
或者别的东西再
这同样适用到“角色”或“会员”或类似的标签(我意识到我已经混合了上面的例子) - 核心问题仍然是如何(最好)区分这些标签每个资源在一个JWT access_token
?
我是否理解正确的话,你必须对他们的访问控制列表(ACL)某些对象。你想创建一个JWT来反映这些ACL在令牌发行时的状态吗?你为什么想这样做? –
@JánHalaša是的,大致正确。目的是为了封装用户的权限,不仅限于该用户拥有的资源,还包括他们已被授权访问的资源(例如,我邀请您编辑我的回购)。 – papercowboy