Załóżmy, że mamy usługę udostępniającą jakiś crudowy zasób, np. tabelę z danymi. Wielu użytkowników poprzez webową apkę może jednocześnie edytować przypisane im zasoby. W jaki sposób najlepiej sprawdzać, czy user wysyłający żądanie ma uprawnienia do operacji, tak aby pominąć odpytywanie za każdym razem bazy? Czy dobrym wyjściem jest generowanie tokena (np. JWT) do każdego zasobu, zawierającego ID usera, ID zasobu i uprawnienia? Żądanie zawierałoby wtedy cookie użytkownika i token.
0
1
Dokładnie tak, ponieważ token JWT może zawierać role