У нас есть некоторые внутренние apis, и мы используем атрибут Autorize с тонко детализированным кодом ролей на каждой конечной точке контроллера.
Эти API в основном используются вспомогательными приложениями SPA для установки и получения различных конфигураций и списка параметров. Теперь мы видим, что эти API должны вызываться из внешнего клиента (выставленного на inte rnet), который на самом деле не осведомлен о нашей внутренней роли / стратегии передачи.
Мы видим два способа сделать это:
Создавая интерфейс API конечного пользователя, чтобы показать его нашему внешнему клиенту и попытаться создать некоторый конкретный код c, который дезактивирует проверка ролей / разрешений
Дайте мелкозернистое разрешение всем нашим внешним клиентам (но в случае внутреннего API, вызывающего другие внутренние API, сложно перечислить их все).
Так каков наилучший способ обработки этих разрешений для АПИС, используемых различными субъектами?