我正在我们的 Webapi 中实现身份验证/授权。目前它在基本的 http 身份验证中工作,这当然只是身份验证。
我们必须实现基于角色的授权。走这条路的最佳做法是什么。
我正在考虑基于身份验证生成一个令牌,并且想知道令牌中是否包含可以告诉我有关用户、其角色、到期日期等信息的信息。这个令牌将随着每个请求来回传递。
我如何检查此令牌是否过期并提取信息。我想不要将它存储在数据库中,以便为每个请求再次查询数据库以查看它是否过期。这样做的正确方法是什么。
我愿意接受建议,并希望了解与此相关的工作。
我正在考虑以 REST url 对我们服务的消费者透明的方式设计我们的控制器。在 Controller/HttpHandler 中,我们能够找出这个 id 属于哪个角色,并相应地带来数据。
请建议