我正在使用 jax-rs 在 java 中实现一个简单的 Rest-API。 我使用 JWT 和 ContainerRequestFilter 来验证用户是否已登录。
现在我希望能够处理不同的角色。 是否可以将用户角色存储在 JWT(声明)中并完全信任它是否可以访问端点?
如果不是,实现此目标的最佳方法是什么?
感谢您的帮助
最佳答案
Is it ok to store the user roles in the JWT (claim) and fully trust it to give access or not to an endpoint ?
是的,应该没问题。只要您确保 JWT token 正确 signed ,您可以放心,没有人可以更改 token 并为自己分配高权限角色。
关于java - 使用 JWT 的基于角色的 Rest-API,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/38838077/