우리는 마이크로 서비스 아키텍처에서 사용자에게 권한을 부여하는 가장 좋은 방법을 결정하려고 노력하고 있으며 마이크로 서비스는 제한된 권한을 갖습니다. 우리 아키텍처는 중앙 인증 서비스를 사용하여 JWT 토큰 발행을 처리합니다. 우리는 다음과 같은 요구 사항이 있습니다. 사용자는 특정 역할을 수행하도록 제한되어야합니다. 예를 들어, 사용자는 자신이 소유 한 컨텐츠 만 작성 / 수정 …
더 강력한 인증 서비스를 구현하고 싶은데 내가하고 싶은 일 jwt의 큰 부분이며 코드 작성 방법을 이해하고 있지만 예약 iss과 aud청구 의 차이점을 이해하는 데 약간의 어려움이 있습니다. 나는 토큰을 발행하는 서버를 정의하고 사용하려는 응용 프로그램을 참조한다는 것을 이해합니다. 그러나 내가 이해하는 방식은 내 청중과 발행자가 동일한 것이므로 myserver.com토큰을 발행하여 오는 …
웹 응용 프로그램의 인증 / 권한 부여에 대해 읽고 있습니다. 아무도 내 현재 지식을 확인 / 수정할 수 있습니까? 쿠키 : 초기 버전에서 고유 한 클라이언트 ID가있는 텍스트 파일 및 클라이언트에 필요한 기타 모든 정보 (예 : 역할) 세션 : 고유 한 클라이언트 ID 만 파일 (쿠키라고도 함)로 전송되며 다른 …
클라이언트의 권한 및 역할에 대한 정보가 JWT에 포함되어야합니까? 유효한 토큰이 올 때마다 JWT 토큰에 이러한 정보를 갖는 것이 매우 유용합니다. 사용자에 대한 권한에 대한 정보를 추출하는 것이 더 쉬울 것이며 데이터베이스를 호출 할 필요가 없습니다. 그러나 이러한 정보를 포함하고 데이터베이스에서 동일한 정보를 다시 확인하지 않는 것이 보안 문제입니까? 또는, 위에서 …