我考虑使用JWT受众字段在我的应用程序中实现基于角色的授权。因此,我将有ServiceA需要存在'RoleA'观众,ServiceB需要'RoleB'等。然后,在发出JWT时,我包括适当的观众。JWT草案的相关部分spec如下:
"Aud(audience)声明标识了JWT所针对的接收方。每个打算处理JWT的主体都必须在audience声明中使用一个值来标识自己。如果处理该声明的主体在存在此声明时未使用aud声明中的值来标识自己,则必须拒绝JWT...观众值的解释通常是应用程序特定的。"
因此,看起来这样做可以实现,但由于我是JWT的新手,我想知道:基于角色的授权是否适合使用观众字段?还是应该使用具有自定义角色数组负载的自己的逻辑?
谢谢
"Aud(audience)声明标识了JWT所针对的接收方。每个打算处理JWT的主体都必须在audience声明中使用一个值来标识自己。如果处理该声明的主体在存在此声明时未使用aud声明中的值来标识自己,则必须拒绝JWT...观众值的解释通常是应用程序特定的。"
因此,看起来这样做可以实现,但由于我是JWT的新手,我想知道:基于角色的授权是否适合使用观众字段?还是应该使用具有自定义角色数组负载的自己的逻辑?
谢谢