Прямо сейчас мой токен доступа Spring OAuth2 JWT содержит следующую информацию:
Безопасно ли иметь общедоступные полномочия в этом токене JWT?
Также размер этого токена составляет 1500 байт. Это нормально для JWT? Каково ограничение размера для токенов JWT?
Я бы скрыл часть информации от потенциальных злоумышленников, т.е. userId. Это помогает защитить пользователя от доступа к личным данным.
Ф.э. если у меня есть идентификатор пользователя Facebook, я могу получить его/ее страницу по URI http://facebook.com/u/{userId}.
Вы можете зашифровать JWT с помощью веб-шифрования JSON или использовать альтернативный уникальный ключ пользователя, недоступен через URI.
Что касается размера токена, особых ограничений нет. Но я думаю, вам следует уменьшить размер, если это возможно, потому что это удаленный вызов. В вашем случае вы можете использовать биты вместо полных имен разрешений.
Я думаю, вы должны хранить в токене минимум информации, чтобы размер не увеличивался, потому что он проходит с каждым запросом от клиента к серверу. Если вы хотите сохранить больше информации, связанной с этим jwt, вы можете использовать redis и сохранить всю информацию в redis, связанную с этим токеном, например, ваши разрешения, вторым преимуществом будет то, что вы сможете отозвать токены jwt, когда пользователь выйдет из системы. . Я почти уверен, что прямо сейчас после выхода из системы вы просто удаляете это только со своей клиентской стороны, но если вы снова будете использовать токен, а срок действия токена не истек, он будет использоваться.
