我有一个独立的WebAPI应用程序,在对其进行身份验证时返回一个令牌 . 当我回调API并在标头中发送令牌时,API能够检索该令牌的声明和角色 .
但是,当我使用该API并在单独的MVC应用程序中获取令牌时,我只能访问一些有限的属性,如access_token,token_type,expires_in等 .
在响应结果中返回自定义声明和用户角色是一种好习惯吗?或者我是否应该再次调用API以返回用户声明和用户角色并更新现有令牌?