2016-08-08 1 views
0

Я реализую простой Rest-API в java с jax-rs. Я использую JWT и ContainerRequestFilter, чтобы убедиться, что пользователь вошел в систему.Роль-Rest-API с использованием JWT

Теперь я хочу иметь возможность обрабатывать разные роли. Можно ли хранить роли пользователя в JWT (претензии) и полностью доверять ему, чтобы предоставить доступ или нет конечной точке?

Если нет, то лучший способ достичь этого?

Спасибо за помощь

ответ

2

Это нормально для хранения пользовательских ролей в JWT (претензии) и полностью доверять ему, чтобы предоставить доступ или нет к конечной точке?

Да, это должно быть хорошо. До тех пор, пока вы убедитесь, что токен JWT правильно signed, вы можете быть уверены, что никто не может вносить изменения в токен и назначать себе роли с высокими привилегиями.

+0

Хорошо спасибо за помощь :) – eclideria