求助啊！类似飞书开放平台的接口权限控制怎么做？

token 做鉴权，可以参考 github 的实现

大概是 ABAC

shiro 不验证 角色 只验证权限不就行了。。。

这个权限申请好像就是发个邮件填个表那种吧，人工审核以后后台开的

感觉这个整体抽象起来还是 rbac,你需要的是可以动态修改赋权给角色的权限数据。只是这里把角色隐化了。
想想大概应该可以这样弄，水平有限勿喷
用户-角色组-资源权限
新建的用户除了拥有一些基本角色外，拥有一个单独自定义角色，此角色来拥有那些开放接口的访问权限，我们可以通过接口调用动态修改权限配置
[需要用户申请相应的权限] 这个也一样，维护一张申请表，若审核通过就动态修改角色权限配置信息

推荐参考使用 sureness - https://github.com/tomsun28/sureness

这个权限设计思路可以参考下
https://github.com/Heeexy/SpringBoot-Shiro-Vue

不用 shiro 不就行了

这个我做过，#5 说的有道理, 补充个例子。

1，把所有可能的权限做个权限 list, 例如 readSomething, write;
2，Role 绑定权限内容(read)和用户(第三方 appid);
3, 第三方申请 read 权限,绑定到第三方的 role 。
至此，第三方申请什么权限，授权之后就有什么权限。
------------------------------------
补充：
接口一定是要和权限做模式匹配的，比如 getuserinfo 一定是在 call 之前就做”读取用户信息“权限认证的。
Oauth 授权的用户也要和 getuserid 的 userid 做匹配。

用 casbin，支持 RBAC 、ABAC，中间切换模型也很简单

@tomsun28 #5
@ResidualWind #6
@leopod1995 #8
@hsluoyz #9

感谢老铁提供的线索和思路，俺这几天研究一下，有不明白再来请教！！！

我咋看不到这个页面

如果是要限制应用的权限，用 scope

如果是要限制用户的权限，用 rbac

开发 API 哪有什么权限？都是验签。

@xuanbg #13 飞书的就需要啊。。。不仅仅是一个签名

@ResidualWind 你好我想问一下，如果这样设计的话，假设我们把这个角色看成是多个权限的权限组，这样如果管理不妥善的话就会导致权限组变的很多，但是多个权限组里面的权限内容却是相同的

Role1 权限 1 权限 2 权限 3
Role2 权限 1 权限 2
Role3 权限 1 权限 2 权限 3
....
RoleN 权限 1 权限 2 权限 3

用户 A Role1 or Role3 or RoleN