【发布时间】:2018-01-25 20:41:22
【问题描述】:
JWT 是否应该不仅仅用于验证用户身份?我读到可以在其中存储非敏感内容(例如用户 ID)。可以在令牌中存储权限级别之类的东西吗?这样我就可以避免进行数据库调用。
【问题讨论】:
-
JWT 令牌可用于身份验证,但没有什么能阻止您存储用户角色或具有令牌访问级别的范围。
-
点赞,因为这是我想听到的答案
-
取决于JWT的具体类型。如果你使用 HMAC,那么该令牌的任何验证者也可以伪造其他令牌并获得更多的访问权限。也许您应该使用 RSA 并确保只有一个实体拥有私钥。