Sto usando i token JWT nelle intestazioni HTTP per autenticare le richieste a un server di risorse. Il server delle risorse e il server di autenticazione sono due ruoli di lavoro separati in Azure.
Non riesco a capire se devo archiviare le richieste nel token o allegarle alla richiesta / risposta in altro modo. L'elenco Reclami influisce sul rendering degli elementi dell'interfaccia utente sul lato client e sull'accesso ai dati sul server. Per questo motivo voglio assicurarmi che i reclami ricevuti dal server siano autentici e validati prima che la richiesta venga elaborata.
Esempi di rivendicazioni sono: CanEditProductList, CanEditShopDescription, CanReadUserDetails.
I motivi per cui voglio usare il token JWT per loro sono:
- Migliore protezione contro la modifica dei reclami lato client (ad es. Hacking dell'elenco dei sinistri).
- Non è necessario cercare i reclami per ogni richiesta.
I motivi per cui non voglio usare il token JWT:
- Il server di autenticazione deve quindi conoscere l'elenco dei reclami incentrato sull'app.
- Il token diventa un unico punto di hack-entry.
- Ho letto alcune cose dicendo che i token JWT non sono destinati ai dati a livello di app.
Mi sembra che entrambi abbiano degli svantaggi, ma mi sto inclinando verso l'inclusione di queste affermazioni nel token e voglio solo gestirlo da persone che hanno già affrontato questo problema.
NOTA: userò HTTPS per tutte le richieste API, quindi mi sembra che il token sarà sicuro 'abbastanza'. Sto usando AngularJS, C #, Web API 2 e MVC5.