Je suis confronté à un problème lors de la mise en œuvre de l'autorisation dans ma première application nodejs qui utilise expressjs, sequelize et jsonwebtoken pour l'authentification. Au sein de Je veux interdire/autoriser les routes pour les différents utilisateurs et je ne veux pas utiliser un autre paquet comme oauth2 ou quelque chose qui gère l'autorisation pour moi.Comment gérer Autorisation avec autorisation/rôles en utilisant JWT
Au moment où j'ai créé un jsonwebtoken qui a des rôles d'autorisation inclus dans la charge utile:
{
"userid": 1,
"name": "John Doe",
"permissions" : ["user_get", "user_post", "user_put"]
"iat": 1505142542,
"exp": 1505146142
}
Non, je veux vérifier dans un appel « GET/utilisateur » si l'utilisateur authentifié est autorisé à appeler il.
Ma question est: Est-il sécuritaire d'utiliser cette approche ou ne devrais-je pas inclure les autorisations dans le jwt? Une autre alternative consiste à demander à la base de données et récupérer l'autorisation au lieu de vérifier la charge utile.
En outre, le jeton sera vérifié s'il est toujours validé au cas où le serveur invaliderait l'utilisateur.
Oui c'est aussi sûr que webtokens. –