最近对我们的服务进行了,原本内部服务在内部可以匿名调用,现在增加了,通过 identity server 来管理 api 和 client,网关和需要访问api的客户端或api服务相互调用通过的方式来调用,这样一来我们可以清晰知道哪些 api 服务会被哪些 api/client 所调用,而且安全性来说更好。为了保持后端服务的代码更好的兼容性,希望能够实现相同前世死因测试的代码通过在 Startup 里不同的配置实现不同的 Authorization 逻辑,原来我们的服务的的形式来写的,这样一来我们只需要修改这个 Policy 的授权配置就可以了。对于 AllowAnonymous 就希望可以通过一种类似的方式来实现,通过自定义一个 Policy 来实现自己的逻辑
注:按照的做法已经可以做到自定义 policy 代替 AllowAnonymous 的行为,但是原来返回的401,现在可能返回到就是 403 了
网友评论 ()条 查看