JWTによるアクセス許可ベースのアクセス制御

Imhoあなたはより安全なアプローチ1-オプションA（ 理由を見る ）を選択し、グループを作成してアクセス許可の数を減らし、フラグの可能性を活用する必要があります。

クライアントが持つことができる：

const accessMode = Object.freeze({
  none: 0,
  execute: 1,
  write: 2,
  read: 4
});

そして権限を組み合わせる：

file.accessMode = accessMode.read | accessMode.write;

サーバーは以下を発行します：

Claims.FileAccess: 6

またはTypeScriptについては、FileAccessの例をここで参照してください。 https://www.typescriptlang.org/docs/handbook/enums.html#computed-and-constant-members

この場合、JWTは存在しない問題に対する過度に複雑なソリューションのように思えます。あなたが述べたことから、これは実際のセキュリティ問題とは対照的に、プレゼンテーションの問題（たまたまaboutセキュリティ）です。クライアント側で実行されるすべてのコードは信頼できず、クライアントはいつでもそのビットにアクセスできると想定する必要があります（例：F12開発者ツールを使用してフィールドを編集可能にするのは簡単です）。

だからあなたの質問に答えるには：

• いいえ、JWTは、単一のサーバーのみを処理している場合、クレームを渡すのに適した方法ではありません。
• 100クレームは、それらを格納する方法に応じて、JWTを大きくする可能性があります（例：それぞれの名前付き文字列は大きくなり、ビットごとのフィールドは大きくなりません）
• 2番目のアプローチは問題ありません（JWTかどうか）

JWTの使用

JWTは、切断されたシステム間でクレームを渡すのに役立ちます。たとえば、サーバーAがクライアントにJWTを発行し、クライアントがそのクレームをサーバーBに提示します。単純なトークン（ワンタイムパスワード）の場合、これにはサーバーが必要です。 BはサーバーAに接続して、このトークンが有効かどうかを確認します。 JWTを使用すると、サーバーBがサーバーAの署名鍵（通常は公開鍵）を持っている限り、二次通信チャネルを実行する必要なく、サーバーAによって署名されたJWTを検証できます。

サーバーと通信するSPA

より簡単な方法は、権限の配列を返すことです。最初にログインするときにこれを行うのがおそらく最も理にかなっていますが、直後に別の呼び出しを行うこともできます。セッション中に権限が変更される可能性が高く、更新を必要とせずにそれをアプリに反映させたい場合は、権限のセットを更新する別の方法が必要になります。

サーバーサイドから実行されているすべてのアクションを検証する必要があることに注意してください-クライアントサイドではセキュリティenforcementを実行できません。これはコントロールの範囲外であるためです。