【发布时间】:2018-03-06 06:11:50
【问题描述】:
假设我想使用 JWT 进行身份验证,如果用户直接使用我的应用程序的 API,我想发出一个不会过期的令牌(但确实包含一个 ID,以便可以撤销它)。其次,假设我有一个基于角色的访问系统,我还想将用户的角色编码到令牌中。但是,如何解决用户角色可能会改变但令牌仍会对其进行编码的问题?显然,如果某人的角色更改为具有较少权限的东西,这将是一个安全问题吗?问题不仅限于此用例,理论上活跃的令牌也会有角色更改不会立即生效的相同问题。
我最初的解决方案也不是将角色/权限级别编码到主令牌中,而是使用仅在从更大的互联网通过应用程序边界时添加到我的系统请求的辅助令牌,但我还想知道其他人如何解决这个问题?
【问题讨论】:
标签: security authentication jwt rbac