现在,我们正在JWT令牌中传递声明(如拥有角色和权限的实例)。但是,缺点就像 1)接入点列表可以编码到JWT中,但它们会增加它的大小。
2)此令牌将随访问令牌的生命周期中的每个请求一起发送(当前为30分钟),因此在此令牌过期并生成新令牌之前,不会反映后端更改。类似的情况是,当令牌被撤销时,现有令牌在其生命周期内仍然有效,并且将尊重在其中编码的接入点
3)这些接入点可能带来安全风险,因为JWT令牌可以用易于访问的工具解码,例如https://jwt.io/ 令牌已签名,因此可以检测到篡改,但它会暴露可能被恶意使用的信息任何人都可以帮助是否有任何其他方式来访问角色和权限以处理授权,而不是通过JWT声明