问如何在oauth2身份验证之上实现用户权限

EN

范围

我不会为此目的使用OAuth2范围。原因是，OAuth2作用域是为了限制应用程序对用户资源可以做什么，而不是限制用户在应用程序中可以做什么。

例如，如果我编写了一个web应用程序，向用户展示他们在Google文档中使用的语言，那么它需要从Google获得的权限来读取用户的Google文档，但不需要读取他们的日历。因此，应用程序将从Google获得一个OAuth2令牌，该令牌的作用域为读文档特权，而不是读日历特权或任何其他不必要的特权。

使用作用域来传递有关用户权限的信息(与应用程序权限相反)的具体缺点是，如果您想实现类似上述的功能，应用程序可以在应用程序中获得对用户资源的不同级别的访问，同时以多种方式使用OAuth2作用域可能会让人感到困惑。如果您希望通过API将应用程序中的功能公开给您的客户以集成到他们自己的应用程序中，这可能会成为一个问题。

OAuth2委托与OpenID连接身份验证

您刚才提到您正在使用OAuth2进行身份验证。OAuth2是用来授权的，不用于身份验证。OAuth2访问令牌不表示经过身份验证的用户。OpenId连接 ID令牌。

AWS认知用户组

我喜欢使用白兰地进行身份验证。它为您跟踪用户，因此您不需要用户数据库，并对它们进行身份验证。它与Google和Facebook等外部身份提供者集成在一起。对于跟踪不同类型用户的用例，可以使用认知群组。这里是一个有例子的博客文章。

基本上，您将从科尼图获得一个ID令牌，您的客户端或服务器可以读取ID令牌来确定用户的组(管理、常规用户等)，并采取相应的行动。这里是从令牌读取组的一个示例。

OAuth2实现中的授权服务器返回一个JWT (作为访问令牌)。您可以让授权服务器返回某些自定义“声明”中的用户访问信息。Security OAuth2支持这一点。教程是这里。

但是，如果用户有一个很长的访问信息列表，使得JWT的大小超过4KB，那么您将无法将令牌存储在cookie中(正如我在其他答案这里和这里中解释的那样，cookie通常被用作在客户端存储令牌的安全选项)。在这种情况下，您可以拥有一个单独的微服务，它将返回给定用户名的用户访问信息，并且可以在其他服务中本地缓存该信息。