Я использую идентификационный сервер 4 в качестве сервера аутентификации и успешно продемонстрировал аутентификацию клиентов для доступа к моему веб-приложению MVC и моему приложению Web API, которые работают на IIS в .NET 4.7.
У меня проблема в том, чтобы найти правильный подход для обеспечения того, чтобы клиенты могли получить доступ только к конечным точкам, которые они должны получить после процесса аутентификации.Например, у меня есть два клиента, один с областью записи, а другой без.Как я могу гарантировать, что тот, у кого нет, сможет получить доступ только к конечным точкам, которые будут считывать мои данные, а не изменять их?
Наилучший метод, который я нашел до сих пор, - это использовать атрибут авторизации, подобный этому: https://github.com/IdentityModel/Thinktecture.IdentityModel/blob/master/source/WebApi/ScopeAuthorizeAttribute.cs
Однако, это помечено как устаревшее, и я не знаю о версии, основанной на промежуточном программном обеспечении OWIN, о котором упоминается.Учитывая, что мои приложения MVC и Web Api не могут быть обновлены до основных приложений .NET, какой будет наилучший подход?