RESTful APIのユーザ権限を確認

Question

NodeJS、Express、MongoDBでSaaS APIを開発しています。 JWT認証/セキュリティ方法を実装しています。

私の個人的なケースでは、私は今のところ2つのコレクションUserとClientを持っています。

あなたが（目的を定義するための）各コレクションが持つフィールドを表示することができます。すなわち

これはまさに私が「ポイントでクライアントを挿入するには：

• /API /ユーザー/ {userIdを} /クライアント：だから、エンドポイントのデザインの面で、私はそうtrully安らかなアプローチを使用しています価格プランがユーザーにそれを許可するかどうかをチェックするために新しいクライアントをポストする前に、私が望むことをもたらす。ロジックの面では：私の疑問の点で

  function post(req,res){ 
      // Check if the JWT user.id is the same of the endpoint request 
      if(req.user._id == req.params.id){ 
       // Here I want to know which is the price plan and to count the Clients that the user has 
  
      } 
  } 
  

  私はいくつかの仮説に考えているが、私は本当に最高である1かわからない：

  • は、ユーザーのコレクションにクエリを実行し得ます価格プラン、クライアントコレクションのクエリカウントを検証し、新しいクライアントを投稿します。
  • ユーザーの料金プラン情報をJWTに入れ、ユーザーのクライアントコレクションのクエリカウントで検証して新しいクライアントを投稿します。

  これらは私が考えた2つの主な解決策ですが、私は実装/実行する必要のあるセキュリティとパフォーマンスを賢明に疑っています。

  ありがとうございます。

Answer 1

私は同じ疑問を持っています。また、トークンに何かを入れた場合、情報が変更されると、それらのトークンを再発行するか（ユーザーのログインとログアウトを行う必要があります）、複雑なトークン更新ロジックを実装する必要があります。また、アプリケーションが進化する：今日あなたは価格が必要で、明日は別のものが必要です。すべてのユーザーのトークンを毎回変更する（実際にはディストリビューターストレージとして使用する）ことはおそらく良い考えではありません。それで、JWTを可能な限り短く保つ方が良いのです。

あなたの質問はより多くの意見に基づいていますが、私自身の意見では、私は間違いなくuserId（必要に応じて+メタ情報）だけをjwtに保存します。しかし、アプリの特定のものではありません。データベースからの読解は道のりです。