Должен ли я декодировать JWT на стороне клиента?

Question

Я создаю приложение для Android и планирую использовать Json Web Tokens (JWT) для аутентификации.

Как только мой сервер возвращает ответ сгенерированным токеном, имеет смысл декодировать токен на стороне клиента, чтобы прочитать информацию о пользователе (aka) или использовать токен строго как механизм аутентификации и сделать второй запрос, чтобы получить информацию о пользователе?

Thanks

Answer 1

Как и большинство вещей, это зависит. Если вы управляете сервером авторизации (т. Е. Это ваш API, который вы вызываете), я действительно не вижу никаких проблем с чтением содержимого токена на стороне клиента.

Если вы вызываете сторонний API и проверяете подлинность на сервере, который вы не контролируете, я бы не стал зависеть от содержимого токена JWT. Третья сторона может принять решение об изменении требований в токене или даже начать шифрование токена.