我有一個帶有 .net core 2 api 的 spa 應用程序。我想使用身份服務器 4，以便將來我還可以提供 sso 解決方案并允許訪問我的其他 api/應用程序。我有一個數據庫，其中包含 identityserver4 將連接的所有租戶的所有用戶信息（以及租戶信息）。每個租戶都有自己的 spa 應用程序數據庫。我從身份服務器獲得的 api 訪問令牌是否應該在聲明中包含角色信息，如果是，角色設置在哪里（在與用戶相同的數據庫或租戶特定數據庫中？我不確定如何知道這些角色是針對哪個 api。例如，如果我請求 api1 范圍，我可以取回僅適用于該范圍的該用戶的角色列表，如果我請求 api2 范圍，則可以取回該用戶的不同角色列表等。在我看來，identityserver 上的文檔和 microsoft 上的文檔與處理此問題的方式相矛盾。