Patrząc na obecnych mechanizmów autoryzacji tokenów, polecam użyciu tokeny JWT niezależnie od platformy. Żetony JWT zawierają wszystkie te roszczenia i mogą zostać bezpiecznie zdekodowane na kliencie. Oznacza to, że zamiast odbierać nieprzezroczysty token, który nie przekazuje informacji klientowi, można przechowywać roszczenia w tokenie i dekodować klienta, aby zbudować interfejs. Żetony JWT są bezpaństwowcami, więc nie musisz przechowywać ani śledzić ich po stronie serwera, co jest korzystne w przypadku skalowania na wiele serwerów. Są również bezpieczne, ponieważ przechowujesz stronę serwera kluczy podpisu prywatnego, co pozwala ci upewnić się, że wszelkie wywołania przychodzące do twojego interfejsu API używają poprawnego tokena, który został wydany przez twój autoryzujący interfejs API.
Żetony JWT bardzo dobrze grają z klientami Angular. Ponieważ są one JSON, możesz je odszyfrować w swoim Angularowym kliencie, a nawet powiązać elementy Ui klienta bezpośrednio z Twoimi roszczeniami (ktoś z roszczeniem administratora może zobaczyć menu administratora, a użytkownik bez tego roszczenia nigdy nie dowie się, że menu istnieje, jeśli zostało zaimplementowane prawidłowo) .
Oprócz tego żeton JWT nadal zachowuje się w taki sam sposób, jak każdy żeton na okaziciela (wydawany przez auth api, przechowywany przez klienta, przekazywany do api zasobu w nagłówku autoryzacji), więc naprawdę nie ma wady, aby go użyć, może myśleć.
Podsumowując, będziesz miał mniej przerw między klientem a serwerem, a także mniej pracy podczas skalowania, jeśli zaimplementujesz tokeny JWT.