Rollenbasierte Rest-API mit JWT

Question

Ich implementiere eine einfache Rest-API in Java mit jax-rs. Ich verwende JWT und einen ContainerRequestFilter, um zu überprüfen, ob der Benutzer angemeldet ist.

Jetzt möchte ich in der Lage sein, verschiedene Rollen zu behandeln. Ist es in Ordnung, die Benutzerrollen in der JWT (Claim) zu speichern und ihr vollständig zu vertrauen, um einem Endpunkt Zugriff zu gewähren oder nicht?

Wenn nicht, was ist der beste Weg, dies zu erreichen?

Danke für die Hilfe

Answer 1

Ist es in Ordnung, die Benutzerrollen in der JWT (Anspruch) zu speichern und vollständig Zugang oder kein Vertrauen zu einem Endpunkt geben?

Ja, das sollte in Ordnung sein. Solange Sie sicherstellen, dass das JWT-Token ordnungsgemäß signed ist, können Sie sicher sein, dass niemand Änderungen an dem Token vornehmen und sich keine Rollen mit hohen Rechten zuweisen kann.