我的应用程序的基本架构是React前端,它使用位于多语言存储层之上的RESTful API.
前端:
反应消费API
后端:
Python
Flask
验证
Auth0 + OKTA
一切都很好.但是,我需要为用户提供不同的角色.换句话说,我需要根据角色控制用户可以对资源执行的操作.
示例:
-User A想要添加一个新用户
- 他的请求中有一个令牌,所以我知道用户A是经过身份验证的
- 所以我需要确保他实际上可以根据他的角色添加用户.
我不想像其他解决方案中建议的那样硬编码用户角色,我想允许添加自定义角色.
此外,我想尊重人们的时间,所以如果有资源解决我的问题,请随时指出.
这些是我的问题:
1.是否有任何最佳实践来实现我想要实现的目标?
你能指点我讨论授权(不是认证)的例子或教程吗?
3.如果经过身份验证的用户也可以执行操作,或者我是否在授权后以某种形式提供角色,我是否检查每个服务呼叫?因此服务请求包含身份验证和授权令牌?(这似乎很容易破解,所以我猜不是......)
如果我对授权主题感到困惑,那是因为我.请随时向我指出任何对您有帮助的资源.
提前感谢您抽出宝贵时间提供帮助!对此,我真的非常感激.
rest authorization role-base-authorization python-3.x restful-architecture