Есть, к примеру, цепочка, которая работает с токеном.
Фронтэнд какого-то сервиса -> Бэкэнд какого-то сервиса -> Сервис авторизации.
1 вопрос)
Каким образом обычно сервис авторизации проверяет валидность ? access token дешифруется и сверяется подпись, а refresh токен сверяется по БД ?
При такой системе мы никак не можем инвалидировать токен, пока срок годности не истечет ?
2 вопрос)
Кто в этой цепочке обычно дешифрует jwt?
Дешифруют ли этот jwt обычно на фронте ? (например чтобы вытащить оттуда время протухания токена, данные юзера, права/роли) Или это плохая практика ?
Дешифруют ли этот jwt обычно на Бэкэнде какого-то сервиса (не сервиса авторизации, другого) ? (например чтобы можно было определить валидность токена дешифровкой, а не делать дополнительный запрос на сервис авторизации. И чтобы достать данные юзера из токена, опять же не делая запрос на сервис авторизации) Или это плохая практика ?
Простой
Средний
Простой
