Мы внедряем IdentityServer4 с MS.Identity для единого входа, аутентификации и авторизации, используя неявный поток для нескольких наших SPA и WebAPI (все они принадлежат нам).
В неявном потоке Id_Token - это то место, где мы размещаем дополнительные «заявки». Укажите здесь.
Access_token не содержит настраиваемых утверждений разрешений в соответствии с этим.
Неявная спецификация потока здесь.
Вопрос: Каков процесс предоставления и удаления разрешений?
- Как клиент узнает об изменении разрешений / требований без опроса конечной точки информации о пользователе?
- Откуда сервер ресурсов знает?
Отзыв Id_token не предусмотрен. Похоже, что полезность утверждений в токенах, зная, что разрешения больше не применимы, с моим пониманием OpenID Conenct.
Мне не хватает очевидного встроенного в спецификацию решения, или мы реализуем какую-то перевыпуск Id_Token при изменении разрешений?
Спасибо..