0

我们有一个在多租户方案上运行的平台。因此,我们在场景中将租户作为父级,将用户作为子级。我们正在使用 Oauth 身份验证方案在该平台上开发一个 Rest API(我们现在有 SOAP 服务)。

我很想知道我们将如何在第三方将开发的每个应用程序上生成访问令牌。是每个用户还是每个租户?我的意思是,如果 User2 在 Tenant1 上授予对 App-A 的访问权限,那么这是否意味着如果 User1 希望使用 App-A,那么授予访问权限对话框不会提示他?两个用户都居住在同一个租户上。

4

1 回答 1

1

这取决于您的具体用例,但我会将其与输入的凭据联系起来。因此,如果用户 1 和用户 2 有不同的不同帐户,并且使用了自己的登录名/密码(或其他),那么他们应该有自己的访问令牌。原因是每个用户正在使用的应用程序实例最终都需要一个访问令牌 - 因此在您的示例中 User2 无论如何都必须经历 oAuth 舞蹈。

另一个更普遍的原因是,当您最终为不同的用户授予不同的权利时,它可以保护您的未来。

希望有帮助。

于 2013-01-06T08:53:29.777 回答