রিসোর্স সার্ভারে অনুরোধগুলি অনুমোদনের জন্য আমি HTTP শিরোনামগুলিতে JWT টোকেন ব্যবহার করছি। রিসোর্স সার্ভার এবং প্রমাণীকরণের সার্ভার অ্যাজুরেতে দুটি পৃথক কর্মী ভূমিকা।
আমার দাবিগুলি টোকেনে সংরক্ষণ করতে হবে বা অনুরোধ / প্রতিক্রিয়াতে অন্য কোনও উপায়ে তাদের সংযুক্ত করা উচিত কিনা তা নিয়ে আমি আমার মন মেকআপ করতে পারি না। দাবিগুলির তালিকা ক্লায়েন্ট-সাইড UI উপাদানগুলির রেন্ডারিংয়ের পাশাপাশি সার্ভারে ডেটা অ্যাক্সেসকে প্রভাবিত করে। এই কারণে আমি নিশ্চিত করতে চাই যে অনুরোধটি প্রক্রিয়া করার আগে সার্ভারের দ্বারা প্রাপ্ত দাবিগুলি খাঁটি এবং বৈধ কিনা।
দাবির উদাহরণগুলি হ'ল: CanEditProductList, CanEditShopDescript, CanReadUserDetails।
আমি তাদের জন্য জেডাব্লুটি টোকেনটি ব্যবহার করতে চাই কারণগুলি হ'ল:
- দাবির ক্লায়েন্ট-পার্শ্ব সম্পাদনা (যেমন হ্যাকিং দাবির তালিকা) এর চেয়ে ভাল সুরক্ষা।
- প্রতিটি অনুরোধে দাবিগুলি দেখার দরকার নেই।
যে কারণে আমি JWT টোকেনটি ব্যবহার করতে চাই না:
- লেখক সার্ভারটির তখন অ্যাপ-কেন্দ্রিক দাবিগুলির তালিকাটি জানতে হবে।
- টোকেন হ্যাক-এন্ট্রি একক পয়েন্ট হয়ে যায়।
- আমি কয়েকটি জিনিস পড়েছি বলেছি যে JWT টোকেনগুলি অ্যাপ-স্তরের ডেটার জন্য নয় for
আমার কাছে মনে হয় যে উভয়েরই ত্রুটি রয়েছে, তবে আমি এই দাবিগুলিকে টোকেনের অন্তর্ভুক্তির দিকে ঝুঁকছি এবং কেবল এই লোকদের দ্বারা এটি চালাতে চাই যারা এর আগে এই বিষয়টি নিয়ে কাজ করেছে।
দ্রষ্টব্য: আমি সমস্ত এপিআই অনুরোধের জন্য এইচটিটিপিএস ব্যবহার করব, সুতরাং আমার কাছে মনে হয় টোকনটি যথেষ্ট 'নিরাপদ' থাকবে। আমি AngularJS, C #, Web API 2 এবং MVC5 ব্যবহার করছি।