expressjs、sequelize、jsonwebtokenを認証用に使用する最初のnodejsアプリケーションで認証を実装する際に問題が発生しました。私は別のユーザのためのルートを許可/禁止したいと思うし、oauth2のような別のパッケージや、私の認証を扱うものを使いたくない。JWTを使用して権限/ロールを使用して権限を処理する方法
{
"userid": 1,
"name": "John Doe",
"permissions" : ["user_get", "user_post", "user_put"]
"iat": 1505142542,
"exp": 1505146142
}
ありません、私は認証されたユーザーが呼び出すことが許可されている場合は、「GET /ユーザー」などの呼び出し内でチェックしたい:私は、アクセス許可の役割は、ペイロードに含まましたjsonwebtokenを作成している時点では
それ。
私の質問は:この方法を使用するのが安全か、jwt内に権限を含めるべきではないですか?もう一つの選択肢は、ペイロードをチェックするのではなく、データベースに問い合わせてパーミッションを取得することです。
さらに、サーバーがユーザーを無効にする場合にトークンがまだ検証されているかどうかがチェックされます。
はいWebtokensと同じくらい安全です。 –