如何使用 JWT 处理角色/权限更新?
通常,REST API 后端中的 JWT 实现会将用户角色和/或权限保存在 JWT 令牌声明中。在这种情况下,客户端会利用这些声明来限制用户与应用程序某些功能的交互。
某些用户或服务器操作会更新用户的授权角色/权限。然而,最后生成的 JWT 令牌尚未过期,因此其声明中仍然包含旧的角色/权限。
您或您的团队如何处理这种情况,以便在客户端应用程序中更新用户授权?
我见过很多选择:
- 创建令牌版本并在服务器端更新它,以便与新请求进行比较。
- 缩短代币有效期
- 使用刷新令牌机制并使用户当前令牌失效。
我想听听你的想法……
文章来源:https://dev.to/sebastiandg7/how-do-you-handle-role-permissions-updates-with-jwt-3778