我在java中用jax-rs实现了一个简单的Rest-API。 我使用JWT和ContainerRequestFilter来验证用户是否已登录。
现在我希望能够处理不同的角色。 是否可以将用户角色存储在JWT(声明)中并完全信任它以授予端点访问权限?
如果不是,最好的方法是什么?
感谢您的帮助
答案 0 :(得分:3)
是否可以将用户角色存储在JWT(声明)中并完全信任它以授予端点访问权限?
是的,那应该没问题。只要您确保JWT令牌正确signed,就可以确保没有人可以更改令牌并为自己分配高权限角色。