क्या अनुमति और भूमिकाओं को JWT के पेलोड में शामिल किया जाना चाहिए?

क्या क्लाइंट की अनुमतियों और भूमिकाओं के बारे में जानकारी JWT में शामिल होनी चाहिए?

JWT टोकन में इस तरह की जानकारी होने से बहुत मदद मिलेगी क्योंकि एक वैध टोकन आने के बाद, उपयोगकर्ता के बारे में अनुमति के बारे में जानकारी निकालना आसान होगा और इसके लिए डेटाबेस को कॉल करने की कोई आवश्यकता नहीं होगी। लेकिन इस तरह की जानकारी और डेटाबेस में एक ही जाँच नहीं दोहरी जाँच शामिल है?

या,

ऊपर बताई गई जानकारी की तरह JWT का हिस्सा कभी नहीं होना चाहिए, और उपयोगकर्ता की पहुंच भूमिकाओं और अनुमतियों की जांच के लिए केवल डेटाबेस का उपयोग किया जाना चाहिए?

टोकन में दावों को शामिल करने का उद्देश्य यह है कि आपके पास संसाधन और प्रमाणीकरण प्रदाता के बीच का संचार न हो।

संसाधन केवल यह जांच सकता है कि टोकन के पास एक वैध हस्ताक्षर है और सामग्री पर भरोसा है।

निजी कुंजी को निजी सर्वर के लिए निजी मान लें कि आप अच्छे हैं। कुछ प्रदाता जोखिम को कम करने के लिए अपनी कुंजी बदलते हैं।

यदि आप इसके बारे में सोचते हैं, अगर संसाधन ने दावे को प्राप्त करने के लिए किसी अन्य सर्वर पर कॉल किया है। तब यह अनिवार्य रूप से सुनिश्चित कर रहा है कि इसके ट्रस्ट सर्वरों से समान विश्वास विधियों द्वारा बात की जाए।

मेरे अनुभव से, यदि आपके सभी सिस्टम कुछ केंद्रीय भूमिका और अनुमति डेटाबेस का उपयोग कर रहे हैं, तो आप उस सभी को JWT में जोड़ सकते हैं।

हालाँकि, यह दृष्टिकोण SSO परिदृश्यों में अच्छी तरह से काम नहीं कर सकता है, जब स्वयं को प्राप्त करने वाले लक्ष्य सिस्टम के बारे में कोई भी विचार नहीं है, जो टोकन को प्राप्त करेगा और उस पर भरोसा करेगा।

उपयोगकर्ता की भूमिकाएं और अनुमतियां पूरी तरह से JWT टोकन के रिसीवर पर हैं। यह विशेष रूप से सच है जब आप SSO को JWT के साथ कुछ विरासत प्रणालियों में एकीकृत करते हैं जो पहले से ही उनकी अनुमति सबसिस्टम है और इस प्रकार उन्हें JWT में मौजूद होने के लिए केवल एक दावे की आवश्यकता है - उपयोगकर्ता पहचान का दावा।