使用JWT进行多个身份验证

JWTs应该不仅仅用于验证用户吗？我读到可以在里面存储非敏感的东西，比如用户ID。可以在令牌中存储权限级别之类的内容吗？通过这种方式，我可以避免进行数据库调用。

JWT令牌可以用于身份验证目的，但没有任何东西可以阻止您，例如用户角色或访问范围

---

一些身份验证提供程序向其令牌添加访问范围。看看这个。

JWT令牌可以用于身份验证目的，但是没有什么可以阻止您存储用户角色或具有令牌访问级别的作用域。upvote，因为这是我想要听到的答案，取决于JWT的特定类型。如果您使用HMAC，那么令牌的任何验证器也可以伪造其他令牌并获得更多访问权限。也许你应该使用RSA，并确保只有一个实体拥有私钥。这个答案是关于刷新令牌吗？