Un token de identidad de OIDC está destinado a una audiencia específica (denotada por la reclamación aud ). Un token de identidad de OIDC también está destinado a ser extensible; Debería poder agregar reclamaciones personalizadas. Entonces, mi pregunta es: ¿Deben cambiar mis reclamaciones por audiencia?
Ejemplo
Tengo dos aplicaciones.
- Aplicación X
- Aplicación Y
Cada aplicación tiene dos roles
- Lee
- escribir
Los usuarios de ambas aplicaciones, junto con sus roles, se administran de forma centralizada en un único proveedor de identidad. ¿Sería una buena práctica cambiar la reclamación roles en función de la audiencia?
Por ejemplo,
Problemas de token para la aplicación X:
{
...
"sub": "User 1"
"aud": "app-x",
"roles": ["read", "write"]
}
Problemas de token para la aplicación Y:
{
...
"sub": "User 1"
"aud": "app-y",
"roles": ["read"]
}
¿O podría considerarse otro enfoque como una mejor práctica? ¿Quizás diferentes roles reclamaciones y alternar con ámbitos?