java - 从 JWT 令牌中删除角色信息
问题描述
我正在使用 keycloak 对应用程序进行身份验证。我想从 keycloak 生成的 JWT 令牌中删除领域访问权限。
- 拥有领域访问(角色)离子 JWT 令牌是一种不好的做法吗?
- 有没有办法从 keycloak 服务生成的 JWT 令牌中删除领域访问?
解决方案
我可能错了,但我不认为这是一种不好的做法,因为令牌已签名。客户端将无法在不知道您的秘密的情况下更改令牌有效负载的内容(令牌签名将是错误的)。请务必检查令牌的有效性。
如果您想更改令牌中提供的信息,您应该查看“客户端范围”部分。
从那里,您将能够更改 jwt 令牌的内容。
推荐阅读
- django - 如何过滤帖子查询以便在 Django 中仅查看朋友和我自己的帖子
- docker - Kubernetes:在 Kubernetes 中同时执行两个命令
- excel - VBA如何显示两个带有符号的msgbox?
- python - 检测到致命错误“无法执行脚本主程序”。与 pyinstaller 一起使用,与 HM NSIS 一起崩溃
- android - 如何将生成的二维码转换为pdf文件并保存在android studio的设备中
- android - 成功配对pin输入后如何发现android ble服务?
- javascript - 从 laravel 渲染模板后,单击类不起作用
- python-3.x - 从图的边缘创建共现矩阵
- botframework - 使用 smba trafficmanager 或 botframework 发送 pdf
- arduino - esp8266 无法与 arduino mega 的引脚通信