JSON Web令牌 - 将不同的用户角色应用于不同的路由

时间:2014-09-30 01:52:28

标签: json authentication json-web-token

在需要角色的身份验证机制中使用JWT的标准做法是什么?

  • 角色是否应包含在预定义的公共声明名称中的某个位置?
    • ['iss', 'sub', 'aud', 'exp', 'nbf', 'iat', 'jti]
  • ...或者应该使用特定于应用程序的私人声明名称吗?
  • 或者应用程序是否应该避免在JWT中放置角色并仅将所有基于角色的逻辑保留在应用程序中?

更多细节:

当使用JSON Web令牌作为用户身份验证机制,并且您在一组路由上应用身份验证时,当令牌有效时,身份验证对该集中的所有路由都有效。如果令牌无效,则对于集合中的所有路由都无效。

如果所有用户都具有相同级别的访问权限,那么这非常有用。但是,如果用户有不同的角色,请说" user"和" admin",并且只有" admin" s才能访问某些路线,这就会失败。

0 个答案:

没有答案