ข้อมูลเกี่ยวกับสิทธิ์และบทบาทของลูกค้าควรรวมอยู่ใน JWT หรือไม่?
การมีข้อมูลดังกล่าวในโทเค็น JWT จะมีประโยชน์มากเพราะทุกครั้งที่โทเค็นที่ถูกต้องมาถึงมันจะง่ายกว่าในการดึงข้อมูลเกี่ยวกับการอนุญาตเกี่ยวกับผู้ใช้และจะไม่จำเป็นต้องเรียกฐานข้อมูลเหมือนกัน แต่การรวมข้อมูลดังกล่าวและไม่ตรวจสอบซ้ำสองครั้งในฐานข้อมูลจะเป็นปัญหาด้านความปลอดภัยหรือไม่
หรือ,
ข้อมูลอย่างที่กล่าวถึงข้างต้นไม่ควรเป็นส่วนหนึ่งของ JWT และควรใช้เฉพาะฐานข้อมูลเพื่อตรวจสอบบทบาทการเข้าถึงและการอนุญาตของผู้ใช้หรือไม่
คำตอบ:
วัตถุประสงค์ของการรวมการอ้างสิทธิ์ในโทเค็นคือคุณไม่จำเป็นต้องมีการสื่อสารระหว่างทรัพยากรกับผู้ให้บริการการตรวจสอบสิทธิ์
ทรัพยากรสามารถตรวจสอบว่าโทเค็นมีลายเซ็นที่ถูกต้องและเชื่อถือเนื้อหา
สมมติว่ารหัสส่วนตัวเป็นรหัสส่วนตัวของเซิร์ฟเวอร์รับรองความถูกต้องของคุณ ผู้ให้บริการบางรายเปลี่ยนกุญแจเพื่อลดความเสี่ยง
ถ้าคุณคิดเกี่ยวกับมันถ้าทรัพยากรทำการโทรกลับไปที่เซิร์ฟเวอร์รับรองความถูกต้องเพื่อรับการเรียกร้อง จากนั้นจะทำให้มั่นใจได้ว่าการพูดคุยกับเซิร์ฟเวอร์ที่ถูกต้องด้วยวิธีการเชื่อถือที่คล้ายกัน
จากประสบการณ์ของฉันหากระบบทั้งหมดของคุณใช้บทบาทศูนย์กลางและฐานข้อมูลสิทธิ์คุณสามารถเพิ่มทั้งหมดนั้นลงใน JWT
อย่างไรก็ตามวิธีนี้อาจทำงานได้ไม่ดีในสถานการณ์ SSO เมื่อเซิร์ฟเวอร์รับรองความถูกต้องไม่มีความคิดใด ๆ เกี่ยวกับระบบเป้าหมายที่จะรับและเชื่อถือโทเค็น
บทบาทและการอนุญาตของผู้ใช้นั้นขึ้นอยู่กับผู้รับโทเค็น JWT โดยเฉพาะอย่างยิ่งเมื่อคุณรวมการรับรองความถูกต้อง SSO กับ JWT เข้ากับระบบดั้งเดิมบางระบบที่มีระบบย่อยการอนุญาตอยู่แล้วดังนั้นพวกเขาจึงต้องการการเรียกร้องเพียงครั้งเดียวเพื่อแสดงตนใน JWT - การอ้างสิทธิ์ตัวตนของผู้ใช้