Я новичок в JWT. Я немного изучил JWT и понял, что он создан как "header.claims.signature".
Рассмотрим простой сценарий следующим образом:
- Клиент получает аутентификацию
- Клиент может иметь (одну или несколько) роли администратора, участника, зарегистрированного, гостя
- Сервер не поддерживает сеанс (и зависит только от JWT для аутентификации/авторизации)
После аутентификации сервер находит тип клиента, и я предполагаю, что customerId и роли будут частью "претензий" в JWT. Сообщите мне, если мое предположение неверно (или против стандартного).
Часть "претензий" JWT не зашифрована (просто закодирована). Это обеспечивает легкую дыру в безопасности, где потребитель (услуга) может просто модифицировать часть "претензий" JWT и повторно отправлять то же самое с большим количеством ролей (для которых клиент/потребитель не имеет права).
Если мое понимание/предположение неверно, как мы достигаем того, к чему я нацелен?