这是我设计的架构。
代币服务器 - 只采集用户名和密码,不保留用户的租户。因此,我并没有被绑在令牌提供商身上。
API - 拥有租户,与租户相关的用户。用户ID与来自Token服务器的用户ID相匹配(主体要求)
现在有很多关于确定租户的答案,我已经通过查看api调用的url解决了这个问题,但如何确定用户对租户有效,考虑到token没有租户信息,因为token服务器没有这些信息。通过中间件还是自定义的 auth 属性?我的问题不是唯一的,我只是找不到关于这个主题的任何信息。我找到了关于token服务器托管租户信息的负载。
我是在ASP.NET CORE 3中做的。
我认为你应该在令牌服务器中保留租户的ID或名称作为用户申请。因为作为在token服务器中产生的token,它们不能被修改,也不能在你的应用中添加信息。