Использование JSON Web Token (JWT) для аутентификации и авторизации

Question

У меня есть серверное веб-приложение, использующее лямбда-функции AWS. Для JSON Web Token (JWT) вы можете указать полезную нагрузку. Можно ли указать полезную нагрузку как

user: example@any.com
authorization-level: admin

и использовать полученный токен не только для авторизации пользователей, но и для аутентификации пользователей? (Технически пользователям EX даже не требуется входить в систему для доступа к API и получения личной информации, поскольку токен имеет электронную почту пользователя, которую мы проверяем и возвращаем соответствующую полезную нагрузку)

Или это серьезное нарушение безопасности?

Answer 1

Прекрасно использовать JWT как для аутентификации, так и для авторизации, если вы не используете NONE для алгоритма подписи.Подпись гарантирует, что пользователь не изменил полезную нагрузку.