JWT 令牌作为 API 中用户详细信息的来源?

Posted

技术标签:

【中文标题】JWT 令牌作为 API 中用户详细信息的来源?【英文标题】:JWT Token as source of User Details in an API? 【发布时间】:2021-12-13 06:22:15 【问题描述】:

我正在构建一个后端 REST API 应用程序,它接收来自使用 Firebase 身份验证的客户端的请求,该客户端将在所有请求的标头中传递 JWT 令牌。

对于请求,我是否仍应在请求正文中要求 UserID,还是应该只使用 JWT 令牌作为解码和获取所有请求的 UserID 的来源?

使用 SpringBoot,我想我可以创建一个过滤器来解码所有请求的 JWT,然后创建一个可以在整个链中引用的 User 对象。

但我不确定是否还需要 UserID 是否仍然有意义,如果只是作为文档点来说明 UserID 在这里用于处理业务逻辑。想想看?

【问题讨论】:

【参考方案1】:

我认为这没有任何意义。您实际上不会在代码中的任何地方使用请求正文中的值,对吗?由于您的担忧似乎与文档有关,我宁愿清楚地描述您的应用程序中的资源已绑定到经过身份验证的用户。

【讨论】:

以上是关于JWT 令牌作为 API 中用户详细信息的来源?的主要内容,如果未能解决你的问题,请参考以下文章

使用 Angular 和 JWT 令牌持续登录

如何从 jwt 令牌获取确切的用户以及用户在 laravel 中的确切帖子

如何从.Net Core API 中的身份验证 JWT 令牌中获取身份用户?

JWT 验证客户端?

如何使用 JWT 身份验证获取登录用户信息?

如何在jwt中过期时刷新令牌