我正在启动一个新项目,它需要管理许多不同API的访问令牌。因此,我想知道向实现API调用的不同类提供访问令牌是一个好做法,还是应该更好地封装令牌。
目前,我认为有两种选择:
使用后一个选项,API类将永远看不到令牌,但是很难预见所有选项--如何将令牌添加到请求中(头、获取参数或完全不同的方式)。
在这种情况下,最佳做法应该是什么?
发布于 2019-10-08 21:55:43
通常,访问令牌包含诸如“是此用户特权”之类的信息,以及其他超越身份验证的与授权相关的声明。
这意味着仅凭身份验证服务无法处理这些声明,API类需要能够看到它们。
因此,您的API类应该有机会向访问令牌添加声明。他们是否是构建令牌本身的人并不重要。
https://stackoverflow.com/questions/58280773
复制相似问题