Ich entwickle eine REST-API und ich habe einige Zweifel darüber, was die richtige Art und Weise ist, die Authentifizierung über JWT zu machen, welche Informationen in die Nutzlast des Tokens aufzunehmen und welche Best Practices und die sichersten sind :Sicherheit JWT in Payload
Ist die ObjectId der mongoDB sicher innerhalb des Payload-Tokens?
{
"sub": "507f191e810c19729de861ea",
"name": "John Doe",
"rol": "admin"
}
Nach überprüfen Sie die 'sub' in dem Token, wenn der Benutzer auf geschützte Route navigiert wie:
“api/dashboard /: userId“
Und comparate in den reques, diesem Beispiel in Express.js
.get('api/dashboard/:userId', (req, res)=> {
if(Req.params.uiserID != token.payload.sub) {
Res.status(401).send({ message: ‘No authorization’})
}
})
Wird das oben genannte als sicher betrachtet?