Я использую Azure Active Directory и пытаюсь понять три типа управления доступом, описанные here. Каковы преимущества и недостатки каждого подхода и когда бы вы использовать их:Сфера действия/роль/управление доступом на основе групп
Область управления доступом на основе использования
oauth2Permissions
раздел моего манифеста, где я могу добавить разрешения на чтение и запись так:{ "adminConsentDescription": "Allow the application read access to MyApi on behalf of the signed-in user.", "adminConsentDisplayName": "Read access to MyApi", "id": "56d944c0-f3aa-4f80-9472-9c1414383abf", "isEnabled": true, "type": "User", "userConsentDescription": "Allow the application read access to MyApi on your behalf.", "userConsentDisplayName": "Read access to MyApi", "value": "read_my_api" }, { "adminConsentDescription": "Allow the application write access to MyApi on behalf of the signed-in user.", "adminConsentDisplayName": "Write access to MyApi", "id": "6d66a2bd-c8c7-4ee0-aef4-9424b51b4967", "isEnabled": true, "type": "User", "userConsentDescription": "Allow the application write access to MyApi on your behalf.", "userConsentDisplayName": "Write access to MyApi", "value": "write_my_api" }
Контроль доступа на основе ролей (RBAC) - с использованием раздела моего манифеста
appRoles
.- Групповой контроль доступа с использованием раздела моего манифеста
groupMembershipClaims
.