具有权限的 JWT

JWT with permissions

提问人:Dirk 提问时间:11/6/2023 更新时间:11/6/2023 访问量:24

问:

JWT 权限

我们有一个 api,组织可以在其中创建事件。组织的每个成员都可以参加/查看所有组织活动。因此,用户所属的每个组织都会被添加到 jwt 声明中,以便我们可以轻松检查用户是否具有这些参加/查看权限

组织外部的用户也可以使用邀请链接加入活动。这些用户不一定会被添加到组织中。

现在,我们只将组织 ID 添加到 JWT 中,并在身份验证中间件中检查用户是否是活动组织的成员。

当用户不是组织成员并尝试参加/观看活动时,我们会进行数据库查找。

当组织外部有 100/1000 名用户参加活动时,这会变得很繁重。

我们想要实现的一个解决方案是将用户将参加的所有即将到来的事件 ID 放在 JWT 中,并在他们查看过去的事件时回退到数据库查找。

这是一个好的解决方案吗?还有其他解决方案吗?

谢谢

认证 安全 JWT

评论

1赞 Quentin 11/6/2023
“当组织外部有 100/1000 名用户参加活动时,这变得很重”——对于数据库来说,数千个用户不应该是“沉重的”,即使是在非常基本的硬件上。
0赞 Dirk 11/6/2023
减少 api 调用至少必须使 api 调用更快。但是,您认为这是处理授权并同时减少数据库调用的好方法吗?

答: 暂无答案

上一个:努力创建 PowerShell 脚本来部署条件访问策略以阻止旧式身份验证

下一个:disable_functions PHP 中假设什么威胁模型?[关闭]