Задать вопрос
@runprogr

Как обычно работают с jwt?

Есть, к примеру, цепочка, которая работает с токеном.
Фронтэнд какого-то сервиса -> Бэкэнд какого-то сервиса -> Сервис авторизации.

1 вопрос)
Каким образом обычно сервис авторизации проверяет валидность ? access token дешифруется и сверяется подпись, а refresh токен сверяется по БД ?
При такой системе мы никак не можем инвалидировать токен, пока срок годности не истечет ?

2 вопрос)
Кто в этой цепочке обычно дешифрует jwt?
Дешифруют ли этот jwt обычно на фронте ? (например чтобы вытащить оттуда время протухания токена, данные юзера, права/роли) Или это плохая практика ?
Дешифруют ли этот jwt обычно на Бэкэнде какого-то сервиса (не сервиса авторизации, другого) ? (например чтобы можно было определить валидность токена дешифровкой, а не делать дополнительный запрос на сервис авторизации. И чтобы достать данные юзера из токена, опять же не делая запрос на сервис авторизации) Или это плохая практика ?
  • Вопрос задан
  • 95 просмотров
Подписаться 1 Простой Комментировать
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы