rest - 我应该使用 JWT 在身份验证端点中返回用户数据吗?
问题描述
我实现了一个身份验证端点,它接受电子邮件和密码并返回一个 JWT 令牌。在 JWT 内部有一个包含用户 ID 的有效负载。从 REST/JWT 标准的角度来看,我采用哪种方法是否重要?
- 返回令牌并让客户端
/users/user_id
使用解码后的 user_id 和令牌在回调中请求资源 /auth
为了客户端的方便,从端点返回带有令牌的整个用户对象。
(我的问题是实现/库不可知论以及关于 api 设计模式)
解决方案
总结那里的讨论;如果 API 是在内部使用的,那么它就不那么重要了,如果你提供一个具有多个消费者的外部 API,那么它就更重要了。没有讨论任何一种方法的任何安全风险。
推荐阅读
- java - Java中while循环的顺序
- java - 这个类线程如何安全?(实践中的并发)
- java - 在特定设备上使用 Google Nearby Connections 发送文件时出现问题
- android - Flutter:如何使用“方向”启动谷歌地图应用程序到预定义的位置?
- stored-procedures - 在 snowflake 中,在授予对存储过程的“使用”访问权限时,我遇到了语法错误
- c# - C# SelfHost 如何限制所有外部请求?
- ios - 带有 React-Navigation 的 React-Native Deeplinks 不起作用
- sql-server - 带引用的 SQL MIN、MAX 窗口查询
- firebase - 如何在 Flutter 中创建 Datatable Form Firestore 到 CSV 文件
- google-sheets - 日期转换 - Google 表格中的公历到 Hijr