0
我在java中使用jax-rs实现了一个简单的Rest-API。 我使用JWT和ContainerRequestFilter来验证用户是否已登录。基于角色的Rest-API使用JWT
现在我想能够处理不同的角色。 可以将用户角色存储在JWT(声明)中,并完全信任它以授予访问权限还是不授予端点?
如果不是最好的方式来实现这一目标?
感谢您的帮助
我在java中使用jax-rs实现了一个简单的Rest-API。 我使用JWT和ContainerRequestFilter来验证用户是否已登录。基于角色的Rest-API使用JWT
现在我想能够处理不同的角色。 可以将用户角色存储在JWT(声明)中,并完全信任它以授予访问权限还是不授予端点?
如果不是最好的方式来实现这一目标?
感谢您的帮助
它是确定用户角色存储JWT(要求),并完全信任它给访问或没有终点?
是的,应该没问题。只要确保JWT令牌正确signed,就可以确定没有人可以更改令牌并为自己分配高权限角色。
好的谢谢你的帮助:) – eclideria