Avatar
0
devman Beginner
devman Beginner
Author/Authen với JWT
Chào mn, em đang sử dụng Spring Security và JWT để implement PBAC, em nên lưu Role + Permission của user vào Token luôn hay chỉ lưu mỗi UserId ạ?

Trường hợp nếu lưu Role+Permission mà user bị thay đổi quyền thì xử lý như nào ạ?

  • Answer
Remain: 5
1 Answer
Avatar
tvd12 Beginner
tvd12 Beginner
Nên chỉ lưu thông tin UserId thôi em ạ, vì các thông tin khác có thể thay đổi, ví dụ như role, permission em nói nó có thể bị thay đổi giữa chừng token đang còn hiệu lực. Nên để đánh đổi giữa bảo mật và hiệu năng thì vẫn nên chọn bảo mật để tránh thiệt hại cho người dùng và hệ thống em nhé.
  • 0
  • Reply