我应该将用户声明存储在JWT令牌中吗？

我在HTTP标头中使用JWT令牌来验证对资源服务器的请求。资源服务器和身份验证服务器是Azure上的两个单独的辅助角色。

我不能决定应该将请求存储在令牌中还是将请求附加到请求/响应中。Claims列表影响客户端UI元素的呈现以及对服务器上数据的访问。因此，在处理请求之前，我想确保服务器收到的声明是真实的并经过验证的。

声明示例包括：CanEditProductList，CanEditShopDescription，CanReadUserDetails。

我要为其使用JWT令牌的原因是：

• 更好地防止客户端对声明进行编辑（即入侵声明列表）。
• 无需在每个请求上查找索赔。

我不想使用JWT令牌的原因：

• 然后，身份验证服务器必须知道以应用程序为中心的声明列表。
• 令牌成为黑客入侵的单一点。
• 我读过几句话说，JWT令牌不用于应用程序级数据。

在我看来，两者都有缺点，但是我倾向于将这些声明包含在令牌中，并且只想由以前处理过此问题的人员来处理。

注意：我将对所有API请求使用HTTPS，因此在我看来，令牌将“足够”安全。我正在使用AngularJS，C＃，Web API 2和MVC5。

我仅将标识符声明（用户ID等）（加密）存储在我的jwt中。

然后，当我在服务器（API）上获得令牌时，我可以进行查找服务器端（数据库或本地网络api调用）并检索与该用户ID的所有关联（应用程序，角色等）。

但是，如果您想在jwt中填充更多内容，请小心大小，因为它可能会在每个请求中发送，但请确保对敏感的声明数据进行加密。

听起来好像身份验证（用户是谁）和授权（允许用户执行的操作）没有像您想要的那样清晰划分。

如果您不希望身份验证服务器知道用户有权获得的权限，则可以像wchoward建议的那样，将该JWT中的声明限制为该用户ID。您可以让另一个服务器（称为授权服务器）查找用户有权获得的权限。

当客户端首次向其提供身份验证令牌时，授权步骤可以由资源服务器完成。然后，资源服务器将向客户端发送包含授权声明的令牌。

注意：两个JWT应该由不同的密钥签名。

优点：

• 认证和授权是分开管理的。
• 资源服务器不必在每个请求上都查找授权。
• 用户界面有权查看授权，但不能对其进行编辑。

缺点：

• 客户端需要处理两个令牌而不是一个。
• 添加授权服务器将增加另一个要管理的部分。