我的应用程序的基本架构是使用位于多语言存储层之上的 RESTful API 的 React 前端。
前端:
React 消费 API
后端:
Python
Flask
认证
Auth0+OKTA
一切都很好。但是,我需要为用户分配不同的角色。换句话说,我需要控制用户可以根据角色对资源执行的操作。
示例: -
用户 A 想要添加一个新用户
- 他的请求中有一个令牌,所以我知道用户 A 已通过身份验证
- 现在我需要确保他实际上可以根据他的角色添加用户。
我不想像其他解决方案中建议的那样对用户角色进行硬编码,并且我想允许添加自定义角色。
另外,我想尊重人们的时间,所以如果有资源可以解决我的问题,请随时指出我。
这些是我的问题:
1. 是否有任何最佳实践来实现我想要完成的目标?
2. 你能指出我讨论授权(不是身份验证)的示例或教程吗?
3. 我是否在每个服务调用中检查经过身份验证的用户是否也可以执行操作,或者我是否在授权后以某种形式提供角色,因此服务请求包含身份验证和授权令牌?(这似乎很容易破解所以我猜没有……)
如果我对授权的话题感到困惑,那是因为我是。请随时向我指出对您有帮助的任何资源。
提前感谢您抽出宝贵时间提供帮助!对此,我真的非常感激。