Использование экспресс-сессии и JWT

Question

У меня есть куча вопросов о express-session и JWT в проекте, который я создаю.

У меня есть сервер Express API, который я хочу защитить, используя какой-то ключ API, чтобы убедиться,только авторизованные приложения могут получить доступ к моим данным.JWT, вероятно, выполнит свою работу.Однако мне также необходимо аутентифицировать пользователей и ограничить их доступ к определенным частям данных (например, разрешениям на основе ролей) с помощью express-session.

Фронт-сервер будет экземпляром Next.js, который будет сохранять ииспользовать куки для экспресс-сессии.Сеанс будет храниться в экземпляре MongoDB.

Смогу ли я использовать оба метода аутентификации в одном проекте?Будет ли это безопасно?Есть ли более легкий подход к этому?Как я могу реализовать разрешения?

Любая помощь и советы будут оценены.

Answer 1

JWT и Express-Session выполняют одно и то же.Разница заключается в том, что браузер не позволяет использовать cookie только для http через javascript.В конце они оба используются для одного и того же конца.

JWT должен быть связан с сеансом пользователя, поэтому разрешения пользователей имеют значение.Они могут быть реализованы в БД и связаны с пользователем.Имеет ли он это разрешение или его роль имеет это разрешение - это промежуточное программное обеспечение, которое вы бы поставили на маршруты.

В случае использования с экспресс-сессией я лично выбрал бы тот же подход.