我有一个调用API的网站。为了从网站上调用API,我首先使用GetAccessTokenForUserAsync(scope)获取一个jwt token。
我的问题是,这个方法不能在 jwt token 中获取用户的角色。我的 user.identity.claim 有一些角色,但它们并不包含在 jwt token 中。
我遗漏了什么?
我试图将角色包含在 jwt token 中,因为我需要保护我的 api 方法。例如,一个方法只能由AdminMember调用,其他方法只能由SpecialMember调用。
是否有其他方法可以在不发送用户角色的情况下保护我的api?
谢谢,谢谢
由于角色是在你的客户端应用的注册中定义的,所以它们只能在它的令牌中获得。
所以,从根本上说有两个选择。
根据你的情况,你可以选择其中一个选项:)