Чи повинні бути включені дозволи на доступ та ролі до корисного навантаження JWT?

Чи повинна інформація про дозволи та ролі клієнта включатись у JWT?

Наявність такої інформації в токені JWT буде дуже корисною, оскільки кожного разу приходить дійсний маркер, було б простіше витягнути інформацію про дозвіл користувача, і не потрібно буде викликати базу даних для того ж. Але чи включення такої інформації та не подвійна перевірка її в базі даних будуть проблемою безпеки?

Або,

Така інформація, як зазначена вище, ніколи не повинна бути частиною JWT, і тільки база даних повинна використовуватися для перевірки ролей доступу та дозволів користувача?

Мета включення претензій в маркер полягає в тому, що вам не доведеться мати зв’язок між ресурсом і постачальником аутентифікації.

Ресурс може просто перевірити, чи маркер має дійсний підпис і довіряти вмісту.

Якщо припустити, що приватний ключ є приватним для аутентичного сервера, ви хороші. Деякі провайдери змінюють свій ключ, щоб зменшити ризик.

Якщо ви задумаєтесь, якщо ресурс зателефонував на сервер аутентифікації, щоб отримати претензії. Тоді, по суті, забезпечується його розмова з правильним сервером аналогічними методами довіри.

З мого досвіду, якщо всі ваші системи використовують центральну базу даних ролей та дозволів, ви можете додати все це до JWT.

Однак такий підхід може не працювати добре в сценаріях SSO, коли сам сервер аутентифікації не має уявлення про цільову систему, яка отримає та довірить маркер.

Ролі та дозволи користувача повністю залежать від приймача маркера JWT. Особливо це актуально, коли ви інтегруєте SSO auth з JWT в деякі застарілі системи, які вже мають свою підсистему дозволів, і тому їм потрібна лише одна претензія, щоб бути присутнім у JWT - заяві про ідентифікацію користувача.