#json #security #jwt
#json #Безопасность #jwt
Вопрос:
Просто быстрый вопрос относительно спецификации JWT и общих рекомендаций JWT. Могу / должен ли я использовать вложенные объекты в качестве утверждений токена JWT или я должен использовать утверждения с префиксом? Оба они кажутся действительными (по крайней мере, оба они декодируются такими сайтами, как https://jwt.io ) но я не уверен, существуют ли какие-либо рекомендации относительно того, какой из двух вариантов выбрать.
Вариант 1:
{
"iat": 1516239022,
"user.firstName": "John",
"user.lastName": "Doe"
}
Вариант 2:
{
"iat": 1516239022,
"user": {
"firstName": "John",
"lastName": "Doe"
}
}
Комментарии:
1. В официальном RFC для JWT упоминаются только стандартные имена верхнего уровня для раздела утверждений. Я не видел ничего «запрещающего» вложенные утверждения, как вы сделали это в варианте № 2 выше, но я мог бы склониться к варианту № 1 здесь.