我应该 return 使用 JWT 的身份验证端点中的用户数据吗?

Should I return user data in an authentication endpoint using JWT?

我实现了一个身份验证端点,它接受电子邮件和密码,returns 一个 JWT 令牌。 在 JWT 中有一个包含用户 ID 的负载。 从 REST/JWT 标准的角度来看,我采用这些方法中的哪一种重要?

  1. return 令牌并让客户端使用解码后的 user_id 和令牌
  2. 在回调中请求 /users/user_id 资源
  3. return 整个用户对象以及来自 /auth 端点的令牌,以方便客户端。

(我的问题是 implementation/library 不可知论并且关于 api 设计模式)

Here is a link to a more thorough discussion and answer to this question on the Software Engineering Stack Exchange

总结那里的讨论;如果 API 是内部使用的,那么它就不那么重要了,如果你提供一个外部 API 给多个消费者,它就更重要了。没有讨论任何一种方法的任何安全风险。