Haruskah izin akses dan peran dimasukkan dalam payload JWT?

Haruskah informasi tentang izin dan peran klien dimasukkan dalam JWT?

Memiliki informasi seperti itu di token JWT akan sangat membantu karena setiap kali token yang valid datang, akan lebih mudah untuk mengekstrak informasi tentang izin tentang pengguna dan tidak perlu menghubungi database untuk hal yang sama. Tetapi apakah memasukkan informasi seperti itu dan tidak memeriksa dua kali di database akan menjadi masalah keamanan?

Atau,

Informasi seperti yang disebutkan di atas seharusnya tidak menjadi bagian dari JWT, dan hanya database yang harus digunakan untuk memeriksa peran akses dan izin pengguna?

Tujuan menyertakan klaim dalam token adalah agar Anda tidak harus memiliki komunikasi antara sumber daya dan penyedia otentikasi.

Sumber hanya dapat memeriksa bahwa token memiliki tanda tangan yang valid dan mempercayai konten.

Dengan asumsi kunci pribadi adalah pribadi ke server auth Anda baik. Beberapa penyedia mengubah kunci mereka untuk mengurangi risiko.

Jika Anda memikirkannya, jika sumber daya melakukan panggilan kembali ke server auth untuk mendapatkan klaim. Maka pada dasarnya memastikan bahwa itu berbicara ke server yang tepat dengan metode kepercayaan serupa.

Dari pengalaman saya, jika semua sistem Anda menggunakan beberapa peran sentral dan basis data izin, Anda dapat menambahkan semua itu ke JWT.

Namun, pendekatan ini mungkin tidak berfungsi dengan baik dalam skenario SSO ketika server auth itu sendiri tidak tahu sama sekali tentang sistem target yang akan menerima dan mempercayai token.

Peran dan izin pengguna sepenuhnya ada pada penerima token JWT. Terutama ketika Anda mengintegrasikan SSO auth dengan JWT ke beberapa sistem lama yang sudah memiliki subsistem izin mereka dan karenanya mereka hanya perlu satu klaim untuk hadir di JWT - klaim identitas pengguna.