我应该 return 使用 JWT 的身份验证端点中的用户数据吗?
Should I return user data in an authentication endpoint using JWT?
我实现了一个身份验证端点,它接受电子邮件和密码,returns 一个 JWT 令牌。
在 JWT 中有一个包含用户 ID 的负载。
从 REST/JWT 标准的角度来看,我采用这些方法中的哪一种重要?
- return 令牌并让客户端使用解码后的 user_id 和令牌
在回调中请求 /users/user_id 资源
- return 整个用户对象以及来自
/auth 端点的令牌,以方便客户端。
(我的问题是 implementation/library 不可知论并且关于 api 设计模式)
总结那里的讨论;如果 API 是内部使用的,那么它就不那么重要了,如果你提供一个外部 API 给多个消费者,它就更重要了。没有讨论任何一种方法的任何安全风险。
我实现了一个身份验证端点,它接受电子邮件和密码,returns 一个 JWT 令牌。 在 JWT 中有一个包含用户 ID 的负载。 从 REST/JWT 标准的角度来看,我采用这些方法中的哪一种重要?
- return 令牌并让客户端使用解码后的 user_id 和令牌 在回调中请求
- return 整个用户对象以及来自
/auth端点的令牌,以方便客户端。
/users/user_id 资源
(我的问题是 implementation/library 不可知论并且关于 api 设计模式)
总结那里的讨论;如果 API 是内部使用的,那么它就不那么重要了,如果你提供一个外部 API 给多个消费者,它就更重要了。没有讨论任何一种方法的任何安全风险。