國立清華大學 資訊工程學系
JWT payload 內的資訊是不能被修改的 所有你可以在登入之後把 user 的 scopes 放到 payload 裡面 然後放心的使用裡面的值(當然妳要檢查 JWT 的合法性 個人覺得用 permission 0/1 的話擴展性會太差 因為以後可能還會有不只 admin/user 兩種角色 可以考慮 RBAC 類的設計 樓上那樣每次 request 都要 query DB 效率會不好