我正在使用Node.js,MySQL和JSON Web令牌构建API。
我的JWT看起来像这样:
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJyb2xlcyI6WyJsb2dnZWRfaW4iLCJhZG1pbiJdLCJpZCI6NzEsImlhdCI6MTQ1OTQ0NjU5MCwiZXhwIjoxNDU5NTMyOTkwfQ.BBbdyFMztYkXlhcBjW6D5SsKxtaRiZJqiNShOroQmhk
及其声明解码为:
{"roles":["logged_in","admin"],"id":71,"iat":1459446590,"exp":1459532990}
当api端点接收到该JWT时,调用ID为71的User表以获取任何相关详细信息或使用JWT中的ID是否更安全?
理想情况下,我们将保存对User表的大量调用,但是是否存在安全威胁?恶意用户不能在调用端点之前更改该ID或角色吗?