Ich würde einige Informationen vor potenziellen Angreifern verbergen, z. userId
. Dies schützt den Benutzer vor dem Zugriff auf persönliche Daten.
F.e. Wenn ich die ID eines Facebook-Nutzers habe, kann ich die Seite unter der URI http://facebook.com/u/{userId}
abrufen.
Sie können JWT mit Hilfe von JSON Web Encryption verschlüsseln oder Sie können einen alternativen Benutzerschlüssel verwenden, auf den über den URI nicht zugegriffen werden kann.
Für die Größe eines Tokens gibt es keine besonderen Einschränkungen. Aber ich denke, Sie sollten die Größe verringern, wenn Sie können, weil dies ein Remote Anruf ist. In Ihrem Fall können Sie Bits anstelle von vollständigen Berechtigungsnamen verwenden.
Siehe http://stackoverflow.com/questions/26033983/what-is-the-maximum-size-of-jwt-token/26034157#26034157 für JWT Größe –