#請益 jwt token權限問題 - B2 留言

國立清華大學資訊工程學系

此留言位於文章 B2

想請問大神們，最近自己寫一個side project 是做前後端分離的，權限有分管理者和一般使用者，登入之後後端會傳一個jwt token和權限放在前端的localstorage（如下圖），把管理者代

JWT payload 內的資訊是不能被修改的所有你可以在登入之後把 user 的 scopes 放到 payload 裡面然後放心的使用裡面的值（當然妳要檢查 JWT 的合法性個人覺得用 permission 0/1 的話擴展性會太差因為以後可能還會有不只 admin/user 兩種角色可以考慮 RBAC 類的設計樓上那樣每次 request 都要 query DB 效率會不好

B22022年8月11日