JSON веб-токен - пароль в полезной нагрузке?

Question

Если я создаю токен JWT, какие данные должны быть в полезной нагрузке?Я искал в Интернете некоторые примеры и объяснения, некоторые люди помещают пароль в JWT, некоторые - нет.

Сейчас я передаю следующие данные:

{ 
  id: 57,
  username: 'test',
  email: 'test@test.nl',
  password: '[HASHED PASSWORD]',
  iat: 1529992818 
}

Это не 'Не стоит помещать хешированный пароль в полезную нагрузку JWT, потому что JWT будет помещен во внешнее приложение.Должно ли оно быть там?

Каковы лучшие практики?

Answer 1

Нет, не вводите пароль в токен!

Какова цель этого? RFC7519, раздел 4, перечисляет некоторые обязательные и некоторые необязательные утверждения , и пароль не входит в их число, и я не знаю какой-либо инфраструктуры, которая бы этого требовала.

Какие претензии полезны или необходимы для вашей цели, здесь невозможно ответить, и это зависит также от инфраструктуры авторизации / middleware / server. Как правило, избегайте конфиденциальной информации и держите токен как можно короче.

Что касается вашего примера, кроме пароля, это нормально, как это. Но помещайте дополнительную информацию в токен только в том случае, если она вам действительно нужна.