私はこのarticleに基づいてJWT認証を実装しようとしています。 特定のユーザー(管理者)が他のユーザー(クライアント)を偽装するようにする必要もあります。JWTを使用した偽装
私はここで二つの可能性を参照してください。管理者トークンを使用して管理要求を行い、要求のそれぞれに偽装のclient_idを追加
- を。
- クライアントのユーザ名とロールをペイロードに含む管理者用の新しいトークンを要求するため、基本的にクライアントトークンになりますが、2つの追加フィールドもあります: "impersonated = true"と "impersonator_admin_id = x "となる。
クライアントロールで.net組み込み許可属性を使用する方が簡単になるので、2番目の方が望ましいです。 しかし、これがセキュリティホールを開くか、.NetのOAuthAuthorizationServerを使って実際に実装できるかどうかはわかりません。
http://stackoverflow.com/questions/22512794/oauth-2-0-acting-on-behalf-of-the-user –