Erişim izinleri ve roller JWT yüküne dahil edilmeli midir?

İstemcinin izinleri ve rolleri hakkında bilgi JWT'ye dahil edilmeli midir?

JWT jetonunda bu tür bir bilgiye sahip olmak, geçerli bir jeton her geldiğinde çok yararlı olacaktır, kullanıcı hakkındaki izin hakkındaki bilgileri çıkarmak daha kolay olacaktır ve veritabanını aynı şekilde çağırmaya gerek kalmayacaktır. Ancak bu tür bilgileri dahil etmek ve veritabanında aynı şeyi tekrar kontrol etmemek bir güvenlik sorunu olacak mı?

Veya,

Yukarıda belirtilenler gibi bilgiler JWT'nin bir parçası olmamalı ve bir kullanıcının erişim rollerini ve izinlerini kontrol etmek için sadece veritabanı kullanılmalıdır.

Jetona hak talebinde bulunmanın amacı, kaynak ile kimlik doğrulama sağlayıcısı arasında bu iletişime sahip olmanıza gerek kalmamasıdır.

Kaynak, jetonun geçerli bir imzası olup olmadığını kontrol edebilir ve içeriğe güvenebilir.

Özel anahtarın auth sunucusuna özel olduğunu varsayarsanız iyi edersiniz. Bazı sağlayıcılar riski azaltmak için anahtarlarını değiştirirler.

Bunu düşünürseniz, kaynak hak taleplerini almak için auth sunucusuna geri arama yaptıysa. Daha sonra benzer sunucu ile doğru sunucu ile konuşmasını sağlar.

Deneyimlerime göre, tüm sistemleriniz merkezi bir rol ve izin veritabanı kullanıyorsa, bunları JWT'ye ekleyebilirsiniz.

Ancak, kimlik doğrulama sunucusunun kendisi, jetonu alacak ve ona güvenecek olan hedef sistem hakkında hiçbir fikri olmadığında, bu yaklaşım TOA senaryolarında iyi çalışmayabilir.

Kullanıcının rolleri ve izinleri tamamen JWT belirtecinin alıcısı üzerindedir. TOA yetkilendirmesini JWT ile önceden izin alt sistemi bulunan bazı eski sistemlere entegre ettiğinizde özellikle doğrudur ve bu nedenle JWT'de mevcut olması için yalnızca bir hak talebinde bulunmaları gerekir - kullanıcı kimliği iddiası.