В настоящее время я пишу веб-приложение, которое использует поток неявного предоставления для браузера, чтобы получить токен идентификатора, который присоединяется ко всем последующим запросам к API бэкэнда.
На моем бэкэнде, когда приходит запрос, токену id необходимо получать и проверять информацию JWKS, а затем уникальный идентификатор пользователя отправлять в нашу базу данных для поиска учетной записи этого пользователя, которая будет включить информацию о своей роли.
Прямо сейчас я выбираю учетную запись пользователя из моей базы данных, только предполагая, что токену можно доверять, одновременно проверяя токен, а затем продолжая работу только в случае успеха обоих. Таким образом, я делаю дополнительные запросы БД, даже если токен истек, так что данные готовы, как только токен проверен, но недавние спекулятивные атаки на выполнение Spectre и Meltdown заставляют меня задуматься, существуют ли какие-либо угрозы безопасности для предварительной выборки данных вашего сервера прежде чем он знает, чтобы доверять пользователю?
Я предполагаю, что в практическом смысле этого не должно быть, но я далеко не эксперт и изо всех сил пытался найти какие-либо записи по этому вопросу ...