关于第三方应用访问活字格服务端命令的权限问题

Chuki.Li

解析了一下通过 ../UserService/connect/token 获取到的JWT，没有角色信息。第三方应用，使用这个token访问活字格的服务端命令API时，无论这个命令授权给什么角色，只要有token，都可以访问。

服务端命令的权限设置，对第三方应用调用而言，是不是只有匿名用户和登陆用户两种情况，角色是没有约束的？

Chuki.Li · Chuki.Li

您好，可以参考这篇帖子
https://gcdn.grapecity.com.cn/showtopic-87565-1-18.html

如果您使用的是“凭证式”，那么会出现您帖子里所说的情况，如果您使用的是“密码式”获取token，会根据请求参数的不同拿到带有不同角色权限的token，从而实现角色约束

Lay.Li · Lay.Li

本帖最后由 Lay.Li 于 2023-6-12 11:32 编辑

大佬，我这边儿用密码式测试是有约束的哈
使用没有调用服务端命令权限的角色获得的token是无法成功调用服务端命令的，只有有权限调用服务端命令的角色获取的token才能调用服务端命令
您应该使用的是凭证式吧，可以使用密码式去使用权限哈

Lay.Li · Lay.Li

感谢各位大佬的支持~

		自动登录	找回密码
密码			立即注册

[已处理] 关于第三方应用访问活字格服务端命令的权限问题

最佳答案

3 个回复

本帖子中包含更多资源

微信认证勋章

悬赏达人

活字格认证

活字格高级认证