Обязательно ли проверять id пользователя зашифрованный в JWT?

Question

razer96 @razer96

Обязательно ли проверять id пользователя зашифрованный в JWT?

У меня простой и возможно глупый вопрос. Как мне быть? Поидее сервис аутентификации при генерации токена шифрует в пейлоудах id пользователя. И тут у меня возникает вопрос, как мне проверять этот айди при верификации токена на других микросервисах? Так как другие микросервисы не обладают никакой инфомацией о пользователе? И важно ли в целом проверять что токен выдан существующему пользователю? Как мне обойти эту проблему? Стоит ли вообще проверять именно пользователя, или достаточно проверять сам токен публичным ключем и просто проверять ip запроса и ip на который был выдан токен?

Вопрос задан более трёх лет назад
74 просмотра

Комментировать

Подписаться 1 Простой Комментировать

Решения вопроса 1

5 комментариев

razer96 @razer96 Автор вопроса

Т.е. по факту, не обязательно в целом проверять наличие пользователя из токена в системе?

Написано более трёх лет назад
Иван Шумов @inoise

razer96, это гарантирует сервер, выдавший информацию

Написано более трёх лет назад
razer96 @razer96 Автор вопроса

Иван Шумов, Ок, благодарю вас

Написано более трёх лет назад
Петр @petermzg

Тут всеже стоит учесть время выдачи токена, так как если он выдан 5 минут назад можно и не проверять, а вот если неделю назад, то статус пользователя мог и измениться

Написано более трёх лет назад
Иван Шумов @inoise

Петр, это в и есть процесс валидации токена. В идеале центр аутентификации и приложение - разные места, поэтому приложение не должно работать с пользователем, а только токеном

Написано более трёх лет назад