Discussoes de Programacao e Tecnologia

Autenticação de API REST com Spring

4 respostas
spring-bootjavaprogramação
I
igor_sb

Galera estou desenvolvendo uma API REST com Spring, agora estou implementando a parte de segurança, o cara que está responsável com o APP precisa que além do token ele tenha algumas informações sobre o usuário que estará autenticado, inicialmente nome, cargo e etc…

Por padrão ao se autenticar pelo /oauth/token, ele retorna o seguinte json

{
  "access_token": "valor_do_token",
  "token_type": "bearer",
  "expires_in": 1799,
  "scope": "read write",
  "jti": ""
}

O ideal seria eu alterar esse retorno para ficar por exemplo:

{
  "access_token": "valor_do_token",
  "token_type": "bearer",
  "expires_in": 1799,
  "scope": "read write",
  "jti": "",
  "usuario": {
    "nome": "JOSÉ ANTÔNIO",
    "cargo": "VENDEDOR"
  }
}

Ou criar um novo endpoint para retorna os dados do usuário autenticado?

Se tiverem alguma dica de material de estudo sobre essas tomadas de decisões e práticas também agradeço, acho que meu conhecimento ainda é pouco e tenho muita dúvida na hora de tomar essas decisões.

Alura Desenvolvimento Back-End Java Sua Carreira em desenvolvimento back-end Java: dos fundamentos à arquitetura de sistemas...

4 Respostas

J
Jonathan_Medeiros

Este formato seria preferível, pois não haveria necessidade de realizar uma nova requisição somente para buscar dados que teoricamente já poderiam estarem contidos no token JWT assim que o usuário se autenticar.

Veja um exemplo de como adicionar custom claims no token:

I
igor_sb

Show, entendi!
No caso como você falou que já poderia estar contido, então se eu adicionar ao próprio token, no front ele poderia decodificar e pegar as informações também né?
Porém acho que uma desvantagem de adicionar as informações ao token seria em relação a quantidade, pois quanto mais informações eu colocar o tamanho de caracteres do token iria aumentar, e acho que poderia torna a aplicação mais lenta, por ter que ficar trafegando um token gigante nas requisições.

J
Jonathan_Medeiros

Sim, poderia tranquilamente!

O tamanho do token não chega a causar lentidão que seja sentida pelo cliente, pelo menos eu nunca tive este tipo de problema, porém deve ser utilizado com sabedoria, no sentido de colocar informações que realmente façam sentido estarem ali, pra não ficar um token “macarrônico” com 321987654123 claims e sendo utilizadas de 1 à 2 claims.

I
igor_sb

Entendi, valeu Jonathan muito obrigado, sanou minhas dúvidas e vou estudar mais rsrs!
Valeu!

Criado 20 de outubro de 2020
Ultima resposta 20 de out. de 2020
Respostas 4
Participantes 2

Topicos relacionados

Injeção de Dependencia - Como resolver? 18 respostas Ler título de livro PDF e associar com um título de livro em csv 4 respostas Associação entre Cliente e Catálogo de produtos 2 respostas Spring boot - Jasper Report Gerando em Branco 2 respostas (RESOLVIDO) Erro simples, mas não sei onde está Resolvido 9 respostas
Alura O que são algoritmos e lógica de programação e como aprender? Entenda o que são algoritmos e lógica de programação e qual é a importância desses conceitos para começar a programar
Casa do Codigo Deixe seu codigo limpo e brilhante: Desmistificando Clean... Por Jose Yoshiriro — Casa do Codigo