Le autorizzazioni di accesso e i ruoli dovrebbero essere inclusi nel carico utile di JWT?

5

Le informazioni sulle autorizzazioni e i ruoli del cliente dovrebbero essere incluse in JWT?

Avere tali informazioni nel token JWT sarà molto utile in quanto ogni volta che arriva un token valido, sarebbe più facile estrarre le informazioni sull'autorizzazione per l'utente e non sarà necessario chiamare il database per lo stesso. Ma l'inclusione di tali informazioni e non il doppio controllo degli stessi nel database sarà un problema di sicurezza?

In alternativa,

Le informazioni come quella sopra menzionata non dovrebbero far parte di JWT mai e solo il database dovrebbe essere usato per controllare i ruoli di accesso e le autorizzazioni di un utente?

    
posta Anshul Sahni 25.06.2018 - 09:50
fonte

1 risposta

4

Lo scopo di includere le attestazioni nel token è così che non devi avere quella comunicazione tra la risorsa e il provider di autenticazione.

La risorsa può semplicemente verificare che il token abbia una firma valida e fidarsi del contenuto.

Supponendo che la chiave privata sia privata del server di autenticazione, si sta bene. Alcuni provider cambiano la loro chiave per mitigare il rischio.

Se ci pensate, se la risorsa effettua una chiamata al server di autenticazione per ottenere le attestazioni. Quindi sta essenzialmente assicurando che parli con il server giusto con metodi di fiducia simili.

    
risposta data 25.06.2018 - 10:37
fonte

Leggi altre domande sui tag