使用JWT(Node.js+;mongoose)在REST API中管理用户权限的最佳方法
我是mongoose和mongoDB的新手,我想知道什么是避免用户登录后修改其他用户信息的最佳方法 我用JWT实现了auth系统,因此路由受到保护,但任何用户都可以编辑/删除其他用户的信息 如果你需要更多的细节,请告诉我。使用JWT(Node.js+;mongoose)在REST API中管理用户权限的最佳方法,node.js,mongodb,authentication,mongoose,jwt,Node.js,Mongodb,Authentication,Mongoose,Jwt,我是mongoose和mongoDB的新手,我想知道什么是避免用户登录后修改其他用户信息的最佳方法 我用JWT实现了auth系统,因此路由受到保护,但任何用户都可以编辑/删除其他用户的信息 如果你需要更多的细节,请告诉我。 提前感谢。发布JWT令牌的授权服务器可以将用户权利/授权/权限放在JWT的“aud”声明中。然后,您的API可以访问“aud”声明,以了解用户的访问情况,并在此基础上发送适当的响应。根据API响应,UI可以启用或禁用、隐藏或取消隐藏适当的UI组件 请参阅中JWT“aud”索赔
提前感谢。发布JWT令牌的授权服务器可以将用户权利/授权/权限放在JWT的“aud”声明中。然后,您的API可以访问“aud”声明,以了解用户的访问情况,并在此基础上发送适当的响应。根据API响应,UI可以启用或禁用、隐藏或取消隐藏适当的UI组件 请参阅中JWT“aud”索赔的详细信息