刷新声明而不刷新令牌

Question

我们正在使用IdentityServer3对用户进行身份验证。我们在一个单独的web应用程序上运行它到主应用程序API。有一个等级要求-例如，工地、工厂和设备。用户可以对位于工厂的一件设备提出索赔，但对整个工厂或现场没有索赔要求。

索赔的分配是通过背景工作来处理的。

当用户为他们创建一个站点、工厂或设备时，这也可能已经分发给了其他用户。

当请求进入引擎API时，我们需要确保查看当前用户的最新声明集。

有没有办法保证每次都会将最近的声明发送给API？

Answer 1

如果您需要频繁地更改数据，则建议不要将它们作为声明放在令牌或cookie中。相反，只需将用户的唯一id (子声明)放在令牌或cookie中，然后根据需要从DB中查找其余部分。如果perf是一个问题，那么进行缓存。