找回密码
 立即注册

QQ登录

只需一步,快速开始

mucai 悬赏达人认证 活字格认证

高级会员

71

主题

358

帖子

1237

积分

高级会员

积分
1237

微信认证勋章悬赏达人活字格认证

mucai 悬赏达人认证 活字格认证
高级会员   /  发表于:2023-6-8 21:31  /   查看:2194  /  回复:3
1金币
解析了一下通过 ../UserService/connect/token 获取到的JWT,没有角色信息。第三方应用,使用这个token访问活字格的服务端命令API时,无论这个命令授权给什么角色,只要有token,都可以访问。

服务端命令的权限设置,对第三方应用调用而言,是不是只有匿名用户和登陆用户两种情况,角色是没有约束的?

最佳答案

查看完整内容

您好,可以参考这篇帖子 https://gcdn.grapecity.com.cn/showtopic-87565-1-18.html 如果您使用的是“凭证式”,那么会出现您帖子里所说的情况,如果您使用的是“密码式”获取token,会根据请求参数的不同拿到带有不同角色权限的token,从而实现角色约束

3 个回复

倒序浏览
最佳答案
最佳答案
Chuki.Li
超级版主   /  发表于:2023-6-8 21:31:03
来自 3#
您好,可以参考这篇帖子
https://gcdn.grapecity.com.cn/showtopic-87565-1-18.html

如果您使用的是“凭证式”,那么会出现您帖子里所说的情况,如果您使用的是“密码式”获取token,会根据请求参数的不同拿到带有不同角色权限的token,从而实现角色约束
回复 使用道具 举报
Lay.Li悬赏达人认证 活字格认证
超级版主   /  发表于:2023-6-9 12:27:55
2#
本帖最后由 Lay.Li 于 2023-6-12 11:32 编辑

大佬,我这边儿用密码式测试是有约束的哈
使用没有调用服务端命令权限的角色获得的token是无法成功调用服务端命令的,只有有权限调用服务端命令的角色获取的token才能调用服务端命令
您应该使用的是凭证式吧,可以使用密码式去使用权限哈



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复 使用道具 举报
Lay.Li悬赏达人认证 活字格认证
超级版主   /  发表于:2023-6-12 11:32:33
4#
感谢各位大佬的支持~
回复 使用道具 举报
您需要登录后才可以回帖 登录 | 立即注册
返回顶部