Токен JWT как источник сведений о пользователе в API?

0

Я создаю серверное приложение REST API, и оно принимает запросы от клиента, использующего аутентификацию Firebase, который будет передавать токен JWT в заголовках всех запросов.

Должен ли я по-прежнему требовать UserID в теле запроса для запросов или я должен просто использовать токен JWT в качестве источника для декодирования и получения UserID для всех запросов?

Используя SpringBoot, я думаю, что могу создать фильтр для декодирования JWT для всех запросов, а затем создать объект User, на который можно ссылаться по всей цепочке.

Но я не уверен, есть ли смысл также требовать UserID, во всяком случае, просто как документ, чтобы сказать, что UserID используется здесь для обработки бизнес-логики. Что думаешь?

0

Я не думаю, что это имело бы смысл. На самом деле вы бы не использовали значение из тела запроса где-либо в коде, не так ли? Поскольку ваша проблема, похоже, связана с документацией, я бы предпочел четко описать, что ресурсы в вашем приложении привязаны к аутентифицированному пользователю.