অ্যাক্সেসের অনুমতি এবং ভূমিকাগুলি কি জেডাব্লুটিটির পে-লোডের অন্তর্ভুক্ত করা উচিত?

ক্লায়েন্টের অনুমতি এবং ভূমিকা সম্পর্কে তথ্য জেডাব্লুটিটিতে অন্তর্ভুক্ত করা উচিত?

জেডাব্লুটি টোকনে এই জাতীয় তথ্য থাকা খুব সহায়ক হবে কারণ যতক্ষণই একটি বৈধ টোকেন আসে, ব্যবহারকারী সম্পর্কে অনুমতি সম্পর্কে তথ্য বের করা সহজ হবে এবং এর জন্য ডাটাবেস কল করার দরকার পড়বে না। তবে কি এই জাতীয় তথ্য সহ এবং ডাটাবেসে একই ডাবল চেক না করা কোনও সুরক্ষা সমস্যা হবে?

অথবা,

উপরে বর্ণিত তথ্যের মতো তথ্য কখনও জেডাব্লুটিটির অংশ হওয়া উচিত নয় এবং কোনও ব্যবহারকারীর অ্যাক্সেসের ভূমিকা এবং অনুমতি পরীক্ষা করার জন্য কেবল ডাটাবেস ব্যবহার করা উচিত?

টোকেনে দাবি অন্তর্ভুক্ত করার উদ্দেশ্য তাই আপনার উত্স এবং প্রমাণীকরণ সরবরাহকারীর মধ্যে সেই যোগাযোগ থাকতে হবে না।

সংস্থানটি কেবলমাত্র টোকনের একটি বৈধ স্বাক্ষর রয়েছে এবং এটি সামগ্রীটিতে বিশ্বাস করতে পারে।

প্রাইভেট কীটি এথ সার্ভারে ব্যক্তিগত বলে ধরে নেওয়া উচিত আপনি ভাল। কিছু সরবরাহকারী ঝুঁকি হ্রাস করার জন্য তাদের চাবিটি পরিবর্তন করে।

আপনি যদি এটির বিষয়ে চিন্তা করেন তবে যদি রিসোর্স দাবিগুলি পাওয়ার জন্য অ্যাথ সার্ভারে ফিরে কল করে। তারপরে এটি মূলত নিশ্চিত করা হচ্ছে যে অনুরূপ বিশ্বাসের পদ্ধতি দ্বারা এটি সঠিক সার্ভারের সাথে কথা বলছে।

আমার অভিজ্ঞতা থেকে, যদি আপনার সমস্ত সিস্টেমগুলি কিছু কেন্দ্রীয় ভূমিকা এবং অনুমতি ডাটাবেস ব্যবহার করে তবে আপনি JWT- এ সমস্ত যোগ করতে পারেন।

যাইহোক, এই পদ্ধতিটি এসএসও পরিস্থিতিগুলিতে ভালভাবে কাজ করতে পারে না যখন লেখক সার্ভারটি নিজেই টার্গেটটি গ্রহণ করবে এবং বিশ্বাস করবে তা টার্গেট সিস্টেম সম্পর্কে কোনও ধারণা নেই।

ব্যবহারকারীর ভূমিকা এবং অনুমতিগুলি সম্পূর্ণরূপে JWT টোকেনটির গ্রহণকারীর উপর upon এটি বিশেষত সত্য যখন আপনি জেডাব্লুটিটির সাথে এসএসও লেখককে কিছু লিগ্যাসি সিস্টেমে একীভূত করেছেন যা ইতিমধ্যে তাদের অনুমতি সাবসিস্টেমটি স্থানে রয়েছে এবং সুতরাং তাদের জেডব্লিউটি-তে উপস্থিত হওয়ার জন্য কেবল একটি দাবি প্রয়োজন - ব্যবহারকারী পরিচয়ের দাবি।