답변:
토큰에 클레임을 포함시키는 목적은 리소스와 인증 공급자간에 해당 통신을 할 필요가 없습니다.
리소스는 토큰에 유효한 서명이 있는지 확인하고 내용을 신뢰할 수 있습니다.
개인 키가 인증 서버의 개인 키라고 가정하면 좋습니다. 일부 공급자는 위험을 완화하기 위해 키를 변경합니다.
당신이 그것에 대해 생각하면, 자원이 클레임을 얻기 위해 인증 서버에 다시 전화를 걸면. 그런 다음 본질적으로 유사한 트러스트 방법으로 올바른 서버와 통신하도록합니다.
내 경험에 따르면 모든 시스템이 일부 중앙 역할 및 권한 데이터베이스를 사용하는 경우 모든 것을 JWT에 추가 할 수 있습니다.
그러나 인증 서버 자체가 토큰을 수신하고 신뢰하는 대상 시스템에 대해 전혀 모르는 경우 SSO 시나리오에서는이 방법이 제대로 작동하지 않을 수 있습니다.
사용자의 역할과 권한은 전적으로 JWT 토큰의 수신자에게 있습니다. SSO 인증을 JWT와 함께 사용 권한 서브 시스템이 이미있는 일부 레거시 시스템에 통합하여 JWT에있는 하나의 청구 (사용자 ID 청구) 만 필요한 경우에 특히 그렇습니다.