TOKEN JWT e atenticação em diversos níveis
Pessoal, sobre o JWT Json Web Token, tenho algumas dúvidas.
Atualmente faço uso de **$_SESSION** no **PHP** para autenticar e validar usuários e seus acessos à **API** e, *logins* no **site/admin**, dentre outras coisas.
Mas, estudando aqui sobre **API's**, percebi a grande utilização do **JWT** em conjunto com a **autenticação**.
1 => No form de login o usuário de identifica
2 => Se as credenciais existirem o usuário ganha o retorno **OK** e cria uma **$_SESSION** com as *credenciais*.
Mas isso é quando **Ambiente Admin e API** estão no mesmo *domínio*.
Quando estão em domínios diferentes está sendo usado o **JWT**.
Mas, aí vem a dúvida: É confiável para *níveis* de *acesso* e *autenticação*?
Andei pensando em umas coisas:
A) Enviar no **Token** o nível de acesso do usuário. Se é administrador, **API**, etc... Mas isso pode ser mudado pelo **man-in-the-middle**.
B) Então pensei em enviar via **SECRET**. Também não dá pois o segredo deve ser 1 para todo e qualquer acesso ficando impossível a verificação do **TOKEN** pela **API**
C) Pensei enviar via cabeçalho (**header**). Mas no caso, é a **API** quem gera o **Token**. Logo, não dá!
Será que não existe saída?
Terei mesmo que usar **$_SESSION** para nível de acesso e **JWT** para validação da *requisição*?
Será que estou tendo uma visão errada do **cenário**?
Alguém pode me ajudar a enxergar isso?
Meu sistema de **diretórios** é:site/admin //administrador da API
site/api // A própria API
Discussão (3)
Carregando comentários...