【发布时间】:2016-12-14 18:03:21
【问题描述】:
我正在使用 jax-rs 在 java 中实现一个简单的 Rest-API。 我使用 JWT 和 ContainerRequestFilter 来验证用户是否已登录。
现在我希望能够处理不同的角色。 是否可以将用户角色存储在 JWT(声明)中并完全信任它以授予或不授予端点访问权限?
如果不是最好的方法是什么?
感谢您的帮助
【问题讨论】:
标签: java rest jakarta-ee jax-rs jwt
我正在使用 jax-rs 在 java 中实现一个简单的 Rest-API。 我使用 JWT 和 ContainerRequestFilter 来验证用户是否已登录。
现在我希望能够处理不同的角色。 是否可以将用户角色存储在 JWT(声明)中并完全信任它以授予或不授予端点访问权限?
如果不是最好的方法是什么?
感谢您的帮助
【问题讨论】:
标签: java rest jakarta-ee jax-rs jwt
是否可以将用户角色存储在 JWT(声明)中并完全信任它以授予或不授予端点访问权限?
是的,应该没问题。只要确保 JWT 令牌正确为 signed,就可以放心,没有人可以更改令牌并为自己分配高权限角色。
【讨论】: