JWTを使用してアクセス権を変更する方法

Question

JWTは、トークン自体にアクセス許可を含めることで、より高速で簡単になることが約束されています。しかし、私の質問は、ユーザーがログインしていて、AとBへのアクセスを許可する許可情報を含むJWTを使用しているということです。
次に、管理者または他のユーザーが来て、そのユーザーにCユーザーはまだログインしていますが、ユーザーはまだ古いJWTを使用しているため、彼はCにアクセスすることはできません。

ここにはどのようなオプションがありますか？トークンをブラックリストに登録し、ユーザーに再度ログインさせますか？トークンベースのパーミッションを全く忘れていますか？

Answer 1

JWTトークンはlocalStorageまたはクッキーに格納されるため、アプリケーションのアクセス権が変更されたときの問題です。

あなたはこれらの二つのいずれかの操作を行うことができます -

1. 変更し、それが新しい権限を持つすべてのユーザーを再ログインを強制されますので、無効なすべてのトークンを行いますあなたの秘密を。

2. データベースに格納されているユーザーごとに一意のSECRETを使用すると、このSECRETを変更すると、特定のユーザーに再ログインされ、更新されたアクセス許可で新しいトークンが取得されます。