2016-08-08 61 views
0

我在java中使用jax-rs實現了一個簡單的Rest-API。 我使用JWT和ContainerRequestFilter來驗證用戶是否已登錄。基於角色的Rest-API使用JWT

現在我想能夠處理不同的角色。 可以將用戶角色存儲在JWT(聲明)中,並完全信任它以授予訪問權限還是不授予端點?

如果不是最好的方式來實現這一目標?

感謝您的幫助

回答

2

它是確定用戶角色存儲JWT(要求),並完全信任它給訪問或沒有終點?

是的,應該沒問題。只要確保JWT令牌正確signed,就可以確定沒有人可以更改令牌併爲自己分配高權限角色。

+0

好的謝謝你的幫助:) – eclideria