.NET Core 2.0でJWTを使用したアクセス権に基づくリソースへのアクセス

Question

.NET Core 2.0を使用したAPIがあります。私はすでにJWTの役割を担当していますが、私は権限でそれを使用するように移動したいと思います。定義済みのアクセス許可リストがあり、そのアクセス許可に基づいて動的な役割を作成することです。

ロールは動的なのでロールベースの認証を使用できないため、権限に基づいてユーザーを認証する必要があります。

静的なアクセス許可リストがあるとします。たとえば：

public class Role 
{ 
    public int Id { get; set; } 
    public string Name { get; set; } 
    public List<RolePermission> Permissions { get; set; } 
    public bool Status { get; set; } 
} 

次のことができます。

• は、すべての記事
• が

は、今度は私が役割を持っているとしましょう、私の記事を見るビュー

ポスト

編集投稿を作成します動的な役割を作成し、与えられたstatから権限のリストを選択するicサンプルリスト。

• はポスト
• 投稿を編集
• ビューの作成

私の考えは持っているすべての記事：

は、今私は、この権限を持つ「管理者」と呼ばれる役割を作成したいですこのようなJWT：

JWT例：

{ 
    "iat": 1416929061, 
    "jti": "802057ff9b5b4eb7fbb8856b6eb2cc5b", 
    "role": "Administrator", 
    "permissions": { 
    "posts": { 
     "actions": ["readall", "create", "edit"] 
    } 
    } 
} 

ここで、APIのリソースにアクセスするためのアクセス許可を確認したいだけです。

唯一の解決策は、すべてのアクセス許可に対してポリシーを作成することですか？どうすればこれを達成できますか？

Answer 1

現在の質問に基づいて、Auth0ダッシュボードにAPIをセットアップする必要があると思います。docs hereを参照してください。次に、必要に応じてAPIにデフォルトのスコープを定義することができます。

所属するロールに従って特定のユーザー認証に実際に適用されるスコープに影響を与えるために、Auth0ダッシュボードでルールを定義できます。ここでは本当に簡単な例です：

function (user, context, callback) { 

    user.app_metadata = user.app_metadata || {}; 

    if (user.app_metadata.role === "Administrator") { 
    context.accessToken.scope = 'openid read:posts create:posts edit:posts'; 
    } else if (user.app_metadata.role === "User") { 
     // define likewise as needed.. 
    } 

    callback(null, user, context); 
} 

role静的ユーザープロファイルに適用される、または動的などを見上げたかどうかは、それほど明確であり、あなたの要件に依存します。これを設定している場合しかし、あなたは（ユーザ認証がAdministrator役割を持っていた状況については、以下。

あなたは、あなたの.NETを確保できるようなものを含むペイロードを持つJWTのアクセストークンを受け取る必要がありますAPIを使用していない場合、理論的には、代わりにIDトークンを使用することができます（アプリケーション自体がコンシューマであるため）。しかし、私はいくつかのAPIに対する要求を承認したいという理解に基づいています...？