问题描述
大家好,我需要针对JWT令牌的此特定授权,
场景-在我的应用程序中,我有X个应用程序,Y个用户。一个应用程序只能有1个用户,并且用户可以有多个应用程序。 我正在使用JWT并保护用户属于该应用程序,但是现在我想保护用户无法更改其他用户应用程序的API。
我有两个解决方案,但都不太可行,我想知道是否有更好的方法可以做到这一点。
第一种解决方案:当用户认证拥有的应用程序ID附加列表到加密令牌时。 然后,在使用令牌提出请求时,您可以解码并检查请求是否要更改其拥有的应用程序。 这行得通,但问题是当用户获得越来越多的应用程序令牌时,它变成了一个很长的字符串。 (我相信在某些时候它不支持)
第二种解决方案:当用户发出请求时,请获取其用户ID并对照db文档进行检查。这是我不希望的额外db请求。
除了这种方式之外,我还能做到吗?
注意:在令牌中,我有userId和userRole。
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)