Ich verwende Node.js, MySQL und JSON Web Token, um eine API zu erstellen.JSON Web Token (JWT) Sicherheit
Mein JWT sieht wie folgt aus:
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJyb2xlcyI6WyJsb2dnZWRfaW4iLCJhZG1pbiJdLCJpZCI6NzEsImlhdCI6MTQ1OTQ0NjU5MCwiZXhwIjoxNDU5NTMyOTkwfQ.BBbdyFMztYkXlhcBjW6D5SsKxtaRiZJqiNShOroQmhk
und seine Ansprüche dekodieren:
{"roles":["logged_in","admin"],"id":71,"iat":1459446590,"exp":1459532990}
Wenn ein api Endpunkt erhält, dass JWT, ist es sicherer, mit der ID der Benutzertabelle aufrufen 71 irgendwelche relevanten Details erhalten oder die ID vom JWT verwenden?
Im Idealfall würden wir viele Anrufe in der Benutzertabelle speichern, aber gibt es eine Sicherheitsbedrohung? Kann ein böswilliger Benutzer diese ID oder eine Rolle vor dem Aufrufen des Endpunkts nicht ändern?
Perfect. Vielen Dank! – user1683056