JWT의 페이로드에 액세스 권한 및 역할이 포함되어야합니까?

클라이언트의 권한 및 역할에 대한 정보가 JWT에 포함되어야합니까?

유효한 토큰이 올 때마다 JWT 토큰에 이러한 정보를 갖는 것이 매우 유용합니다. 사용자에 대한 권한에 대한 정보를 추출하는 것이 더 쉬울 것이며 데이터베이스를 호출 할 필요가 없습니다. 그러나 이러한 정보를 포함하고 데이터베이스에서 동일한 정보를 다시 확인하지 않는 것이 보안 문제입니까?

또는,

위에서 언급 한 것과 같은 정보는 JWT의 일부가되어서는 안되며 사용자의 액세스 역할 및 권한을 확인하기 위해 데이터베이스 만 사용해야합니까?

토큰에 클레임을 포함시키는 목적은 리소스와 인증 공급자간에 해당 통신을 할 필요가 없습니다.

리소스는 토큰에 유효한 서명이 있는지 확인하고 내용을 신뢰할 수 있습니다.

개인 키가 인증 서버의 개인 키라고 가정하면 좋습니다. 일부 공급자는 위험을 완화하기 위해 키를 변경합니다.

당신이 그것에 대해 생각하면, 자원이 클레임을 얻기 위해 인증 서버에 다시 전화를 걸면. 그런 다음 본질적으로 유사한 트러스트 방법으로 올바른 서버와 통신하도록합니다.

내 경험에 따르면 모든 시스템이 일부 중앙 역할 및 권한 데이터베이스를 사용하는 경우 모든 것을 JWT에 추가 할 수 있습니다.

그러나 인증 서버 자체가 토큰을 수신하고 신뢰하는 대상 시스템에 대해 전혀 모르는 경우 SSO 시나리오에서는이 방법이 제대로 작동하지 않을 수 있습니다.

사용자의 역할과 권한은 전적으로 JWT 토큰의 수신자에게 있습니다. SSO 인증을 JWT와 함께 사용 권한 서브 시스템이 이미있는 일부 레거시 시스템에 통합하여 JWT에있는 하나의 청구 (사용자 ID 청구) 만 필요한 경우에 특히 그렇습니다.