0
Les JWT doivent-ils être utilisés pour plus que simplement authentifier un utilisateur? J'ai lu que c'est bien de stocker des choses non sensibles comme un identifiant d'utilisateur. Serait-il acceptable de stocker des choses comme les niveaux d'autorisation dans le jeton? De cette façon, j'évite de faire un appel à la base de données.Utilisation d'un JWT pour plus que l'authentification
Les jetons JWT peuvent être utilisés à des fins d'authentification, mais rien ne vous empêche de stocker des rôles utilisateur ou une portée avec le niveau d'accès du jeton. –
upvote parce que c'est la réponse que je voulais entendre –
Dépend du type spécifique de JWT. Si vous utilisez HMAC, tout vérificateur du jeton peut également forger d'autres jetons et obtenir plus de droits d'accès. Peut-être que vous devriez utiliser RSA et assurez-vous que seule une seule entité a la clé privée. –