配置API访问策略
访问策略通过对定义的授权类型、用户和Scope组合,对该组合定义特定的Access token和Refresh token的生命周期来帮助您保护您的 API端点。可以制定是否允许应用程序访问您受保护 API 中的特定信息以及访问的时长。
我们拿金融行业的API举例,如果是访问一个交易的信息,我们可以发放一个包含transactios:read 的访问令牌,该令牌的生命周期可以设定为几个小时。但是,如果需要调用转移资金的API,则访问令牌的生命周期应该配置为分钟级别。
您还可以在 ID Token 和Access Token中包含自定义的Claims,以通过令牌来与应用共享的信息。自定义的claims可以减少应用对于IDP的信息的查询次数。
策略按照优先级顺序进行评估,策略中的规则也是如此。策略会执行第一个匹配到的策略和规则,一旦匹配之后,即开始执行,终止继续匹配的流程。如果客户端没有匹配到任何策略,则身份验证尝试失败并返回错误。详细参考策略
