Как правильно взаимодействовать Web Application и OpenId Connect?

Question

[username_m17]

Разбираюсь с OpenId Connect. Где правильно хранить права доступа пользователей к закрытым частям ресурса (приложение MVC + множество Rest Api)?

1. На стороне ресурса (ресурс запрашивает только OpenId + Profile Claims у сервера аутентификации). Клиенты стучатся к User Access End Point на ресурсе, чтобы узнать есть ли у пользователя права (к Api).
2. На стороне сервера аутентификации (ресурс запрашивает OpenId + Profile + App Scopes). Ресурс через Api редактирует права доступа пользователя.

Answer 1

[Иван Шумов]

Нет правильного способа. Оба рабочие и применяются в разных случаях