Có nên đưa quyền truy cập và vai trò vào tải trọng của JWT không?

Có nên đưa thông tin về các quyền và vai trò của khách hàng vào JWT không?

Có thông tin như vậy trong mã thông báo JWT sẽ rất hữu ích vì mỗi khi có mã thông báo hợp lệ, sẽ dễ dàng trích xuất thông tin về sự cho phép về người dùng và sẽ không cần phải gọi cơ sở dữ liệu cho cùng. Nhưng bao gồm thông tin như vậy và không kiểm tra hai lần giống nhau trong cơ sở dữ liệu sẽ là một vấn đề bảo mật?

Hoặc là,

Thông tin như thông tin được đề cập ở trên không phải là một phần của JWT và chỉ nên sử dụng cơ sở dữ liệu để kiểm tra vai trò truy cập và quyền của người dùng?

Mục đích bao gồm các khiếu nại trong mã thông báo là vì vậy bạn không cần phải có sự liên lạc đó giữa tài nguyên và nhà cung cấp xác thực.

Tài nguyên chỉ có thể kiểm tra mã thông báo có chữ ký hợp lệ và tin tưởng vào nội dung.

Giả sử khóa riêng là riêng tư đối với máy chủ xác thực thì bạn tốt. Một số nhà cung cấp thay đổi chìa khóa của họ xung quanh để giảm thiểu rủi ro.

Nếu bạn nghĩ về nó, nếu tài nguyên thực hiện cuộc gọi trở lại máy chủ xác thực để nhận các khiếu nại. Sau đó, về cơ bản là đảm bảo rằng nó nói chuyện với đúng máy chủ bằng các phương thức tin cậy tương tự.

Theo kinh nghiệm của tôi, nếu tất cả các hệ thống của bạn đang sử dụng một số cơ sở dữ liệu quyền và vai trò trung tâm, bạn có thể thêm tất cả vào hệ thống JWT.

Tuy nhiên, cách tiếp cận này có thể không hoạt động tốt trong các kịch bản SSO khi bản thân máy chủ xác thực không biết gì về hệ thống đích sẽ nhận và tin tưởng mã thông báo.

Vai trò và quyền của người dùng hoàn toàn phụ thuộc vào người nhận mã thông báo JWT. Điều này đặc biệt đúng khi bạn tích hợp SSO auth với JWT vào một số hệ thống cũ đã có sẵn hệ thống con cấp phép của họ và do đó họ chỉ cần một yêu cầu để có mặt trong JWT - yêu cầu nhận dạng người dùng.