Обязательно ли проверять id пользователя зашифрованный в JWT?

Question

[razer96]

У меня простой и возможно глупый вопрос. Как мне быть? Поидее сервис аутентификации при генерации токена шифрует в пейлоудах id пользователя. И тут у меня возникает вопрос, как мне проверять этот айди при верификации токена на других микросервисах? Так как другие микросервисы не обладают никакой инфомацией о пользователе? И важно ли в целом проверять что токен выдан существующему пользователю? Как мне обойти эту проблему? Стоит ли вообще проверять именно пользователя, или достаточно проверять сам токен публичным ключем и просто проверять ip запроса и ip на который был выдан токен?

Answer 1

[Иван Шумов]

В токене нет секретной информации. Если вы отвалидировали токен то обязаны верить всей информации, которая была предоставлена

Comments

[razer96]

Т.е. по факту, не обязательно в целом проверять наличие пользователя из токена в системе?

[Иван Шумов]

razer96, это гарантирует сервер, выдавший информацию

[razer96]

Иван Шумов, Ок, благодарю вас

[Петр]

Тут всеже стоит учесть время выдачи токена, так как если он выдан 5 минут назад можно и не проверять, а вот если неделю назад, то статус пользователя мог и измениться

[Иван Шумов]

Петр, это в и есть процесс валидации токена. В идеале центр аутентификации и приложение - разные места, поэтому приложение не должно работать с пользователем, а только токеном