Access Control: Token Management (Backend)

[jvanf]

• Nur Access-Token nötig, kein Refresh-Token implementieren
  • Lange Gültigkeit des Tokens setzen (z.B. 24h)
  • Handling für abgelaufene Tokens muss nicht implementiert werden
  • "exp", "iat" im Frontend nicht beachten
• Access-Token für Neuladen der App in localStorage ablegen
  • Nur beim Initialisieren der App aus localStorage laden
  • Tipp: direkt im "InitialState" setzen oder via useEffect/dispatch holen und setzen
• Access-Token mit jedem Request (ausser Login) im Header mitschicken
  • Authorization: Bearer <token>
  • Nochmals: Token nicht bei jedem Request direkt aus localStorage laden
• Access-Token muss nicht im Client "entpackt" werden
  • Benutzername und Rolle mit Access-Token im localStorage ablegen