JWT per aplikacja/user

0

Czesc, jwt powinienem tworzyc per user czy moze per aplikacje ? Spotkalem sie z roznymi opiniami. Co wy sadzicie ?

0

przecież ten token to taki odpowiednik session cookie więc jak per aplikacja? Per aplikacja robisz klucz który służy do szyfrowania, bez tego klucza nie wygenerujesz tokenów.

0
mr_jaro napisał(a):

przecież ten token to taki odpowiednik session cookie więc jak per aplikacja? Per aplikacja robisz klucz który służy do szyfrowania, bez tego klucza nie wygenerujesz tokenów.

Druga sprawa że JWT ma w zamyśle ograniczyć odwołoania do bazy danych i bez stanowość. Więc w payloadzie przesyłamy informacje o np. o userze. Info z dokumentacji:

Self-contained: The payload contains all the required information about the user, avoiding the need to query the database more than once.

Więc jeden token na aplikację dla wszystkich userów wymagałby tych samych danych. Jaki jest tego sens?

0

Ale wtopa. Chodziło mi o Secret w jwt a nie samo jwt. Proszę admina o poprawkę.

0

Jeśli przez secret masz na myśli to co jest używane do podpisywania tokenów, to jeden (możliwe, że rotujący) na źródło tożsamości (wystawcę tokenów). Z założenia nie musisz przecież wystawiać tych tokenów wewnątrz aplikacji - możesz skorzystać z zewnętrznych serwisów jak Firebase, Auth0. Osobiście uważam zresztą, że w większości przypadków lepiej skorzystać z cudzych serwisów.

1 użytkowników online, w tym zalogowanych: 0, gości: 1