Авторизация, токены и nodejs

Question

Я думаю об авторизации для моего приложения.Помимо аутентификации JWT на базе данных mongo, я хотел бы защитить определенные маршруты для разных ролей.Меня не интересуют OAuth или сторонние сервисы

С чем у меня проблемы, это где хранить роли.Если я запрашиваю базу данных для аутентификации и возвращаю токен, я должен также вернуть роль в полезной нагрузке?Затем проверьте с помощью промежуточного программного обеспечения после проверки подлинности, авторизован ли пользователь?Не может ли кто-нибудь переписать токен с правами администратора?

Какой стандартный способ сделать это?

В конечном счете, API работает с угловым приложением на внешнем интерфейсе.

Спасибо

Answer 1

Стандартный способ сделать это, используя JWT signed token, который подписан закрытым ключом сгенерированного на нем сервера, и открытый ключ отправляется всем потребляющим клиентам. Если кто-либо изменяет тело в токене, то аутентифицирующий орган , который сервер будет пытаться провести цифровую проверку подписи через свой закрытый ключ.Так как этот токен отличается от того, который отправляется подписью с сервера, подписи никогда не будут совпадать.

Кроме того, чтобы защитить ваш JWT token от прослушивания как часть живого сеанса, который вы установили CSRF / XSRF стратегия смягчения последствий