Czy uprawnienia dostępu i role powinny być uwzględnione w ładunku JWT?

Czy informacje o uprawnieniach i rolach klienta powinny być zawarte w JWT?

Posiadanie takich informacji w tokenie JWT będzie bardzo pomocne, ponieważ za każdym razem, gdy pojawi się prawidłowy token, łatwiej byłoby wyodrębnić informacje o uprawnieniu użytkownika i nie będzie potrzeby wywoływania bazy danych dla tego samego. Ale czy włączenie takich informacji i nie dwukrotne sprawdzenie ich w bazie danych będzie stanowić problem bezpieczeństwa?

Lub,

Informacje takie jak te wymienione powyżej nie powinny być częścią JWT, a jedynie baza danych powinna być używana do sprawdzania ról dostępu i uprawnień użytkownika?

Celem włączenia roszczeń do tokena jest uniknięcie komunikacji między zasobem a dostawcą uwierzytelnienia.

Zasób może po prostu sprawdzić, czy token ma prawidłowy podpis i zaufać zawartości.

Zakładając, że klucz prywatny jest prywatny dla serwera uwierzytelniania, jesteś dobry. Niektórzy dostawcy zmieniają klucz, aby zmniejszyć ryzyko.

Jeśli pomyślisz o tym, jeśli zasób oddzwonił do serwera uwierzytelniania, aby uzyskać roszczenia. Następnie zasadniczo zapewnia, że ​​rozmawia z właściwym serwerem za pomocą podobnych metod zaufania.

Z mojego doświadczenia wynika, że ​​jeśli wszystkie systemy korzystają z centralnej bazy danych ról i uprawnień, możesz dodać to wszystko do JWT.

Jednak to podejście może nie działać dobrze w scenariuszach jednokrotnego logowania, gdy sam serwer uwierzytelniający nie ma pojęcia o systemie docelowym, który odbierze i zaufa tokenowi.

Role i uprawnienia użytkownika spoczywają całkowicie na odbiorcy tokenu JWT. Jest to szczególnie prawdziwe, gdy integrujesz uwierzytelnianie jednokrotnego logowania z JWT w niektórych starszych systemach, które mają już swój podsystem zezwoleń, a zatem potrzebują tylko jednego oświadczenia, aby być obecnym w JWT - oświadczenie o tożsamości użytkownika.