Я пытаюсь понять механизм IdentityServer для аутентификации и авторизации. Предположим, у нас есть 3 типа клиентов (приложений), каждый из которых имеет свои собственные политики разрешений ролей пользователей (т. е. для отображения / скрытия меню).
Итак, в мире idp, где находится логика авторизации c идет? это ответственность клиента или idp?
Я думаю, что idp просто аутентифицирует пользователя, затем перенаправляет его / ее клиенту, после этого клиент должен обработать все задачи авторизации (показать / скрыть меню на основе локальной базы данных пользовательских ролей). пользователь работает с клиентом, пока он / она не хочет выйти из системы. Опять же, он / она (клиент от имени) должен связаться с idp.
в целом, я имею в виду, что у меня есть Пользователь , Роли и UserRoles таблицы в базах данных каждого клиента отдельно для обработки локальной логики авторизации c? Это правильно?