И
Size: a a a
2020 December 31
И
Следующий вопрос относительно скоупов если ваши скопы имеют вид read:orders это значит что мы даём доступ на чтение таблицы ордеров целиком? Насколько одекватен кейс что скоуп read:orders нне получит свою таблицу ордеров потому что ему не даст последующие бизнес правило? Вопрос о5 же о кейся как грамотно. Разграничивать доступ в скоупвх
И
Вопрос номер не помню какой "как вы собираете бизнес требывания по этому вопросу?" просто придти к бизнесу и сказать "дай все роли, и все возможные права это не подход! Какие входные параметры лучше дать бизнесу! Все урлы, или все ресурсы? В. Каком формате я должен получить от него. Бизнес требывания и логические утверждения по этому вопросу? Есть какая то практика?
G
Вопрос номер не помню какой "как вы собираете бизнес требывания по этому вопросу?" просто придти к бизнесу и сказать "дай все роли, и все возможные права это не подход! Какие входные параметры лучше дать бизнесу! Все урлы, или все ресурсы? В. Каком формате я должен получить от него. Бизнес требывания и логические утверждения по этому вопросу? Есть какая то практика?
тем не менее, если у вас токен будет в телефоне (чтоб на сервисах не ходить на auth) то вам придется перечислить в них все capabilities. исходите из того, что каждый сервис будет сам определять, что на нем юзеру можно, а что нельзя
G
грубо говоря, достаточно одного scope 'profile', в котором лежит claim capabilities, где перечислены все order:read write etc.
G
смысл в разных scopes, если сервис сам запрашивает права (путем многих переадрессаций) у auth сервера. можно ограничить их раздачу. этому сервису можно отправить весь profile, а этому только email.