问如何使用OAuth2/OpenId执行复杂规则系统？

EN

我正在考虑将REST服务构建为后端，并研究OAuth2/OpenId来处理安全性，但我不知道如何将复杂的结构与规则或作用域结构相匹配。

目前还没有构建，所以可能我的推理是错误的，域模型可以修改以满足我的需要，或者OAuth2/OpenId不适合我。

我有一个域模型如下：

• Country。
• 一个区域，它与一个国家相连。一个国家拥有多个区域，但一个区域只属于一个国家。
• 一个产品，它链接到一个国家，也可以是一个区域。
• 可以在产品上执行的操作。(不是直接链接到产品，而是与CRUD相关的东西。)
• Profile，它链接到一个国家(可选为一个区域)，并保存操作列表。
• 链接到一个或多个配置文件的用户。

用户可以请求一个产品列表。在这些产品上，如果产品的国家/区域与配置文件国家/地区相匹配，他可以根据配置文件允许的内容执行操作。

想象一下：

Product | Country | Region
--------------------------
      A |       X |      Z
      B |       X |      Y

Profile | Country | Region | Action
-----------------------------------
      I |       X |      Z | UPDATE
      I |       X |      Z | DELETE
      J |       X |      Y | DELETE

用户被链接到配置文件I和J。

• 如果用户选择Product，则允许他更新产品，因为国家X和区域Z匹配。
• 如果用户选择产品B，则不允许他更新产品，因为即使国家X匹配，区域Y也不匹配配置文件I。

这是我的问题。我不太明白如何使用OAuth2/OpenId提供的基本规则和作用域来实现这个复杂的规则系统。大多数示例使用一个非常简单的概念，基本CRUD允许与否，但我需要另一个层次。

简单地使用系统对用户进行身份验证，但每次仍然必须执行深入的操作验证调用似乎是开销。然后，我可以跳过OAuth2/OpenId并执行我自己的验证。

或者有其他方法可以对我的需求进行建模以适应OAuth2/OpenId的概念？