0
更多的应该JWTs用于不仅仅是验证用户更多?我读过可以存储诸如用户ID之类的非敏感内容。在令牌中存储权限级别等内容是否可行?这样我就可以避免进行数据库调用。使用JWT超过认证
更多的应该JWTs用于不仅仅是验证用户更多?我读过可以存储诸如用户ID之类的非敏感内容。在令牌中存储权限级别等内容是否可行?这样我就可以避免进行数据库调用。使用JWT超过认证
JWT令牌可用于认证目的,但没有阻止你creating your own claims to store additional data,如用户角色或访问的范围。
有些身份验证提供接入的范围内添加到他们的记号。看看这个answer。
这个答案是在谈论令人耳目一新的令牌吗? –
JWT令牌可用于认证目的,但没有阻止你存储用户的角色或与令牌的访问级别范围。 –
给予好评,因为这是我想听到 –
的答案取决于特定类型的智威汤逊的。如果您使用HMAC,则令牌的任何验证者也可以伪造其他令牌并获得更多访问权限。也许你应该使用RSA并确保只有一个实体拥有私钥。 –