Dove memorizzare l'ID utente in jwt

Question

Sto generando un jwt per un token API. Sto inserendo l'ID utente in quel jwt, quindi so chi sta chiamando nell'API. Dove inserisco l'ID utente nel jwt.

Ho visto molti esempi diversi che lo inseriscono in "sub", "aud" e persino "iss". Quale è corretto se c'è ne. O l'ID utente va in un nome non registrato?

Answer 1

Il reclamo sub è il reclamo corretto per l'identificativo utente. Il reclamo aud identifica il destinatario previsto del JWT e lo iss identifica l'emittente/creatore. Qualsiasi altra interpretazione di queste affermazioni non è conforme allo standard, vedere: https://tools.ietf.org/html/rfc7519#section-4.1