回答:
トークンにクレームを含める目的は、リソースと認証プロバイダーの間でそのような通信を行う必要がないようにすることです。
リソースは、トークンに有効な署名があることを確認し、コンテンツを信頼することができます。
秘密鍵が認証サーバーに秘密であると仮定すると、あなたは良いです。一部のプロバイダーは、リスクを軽減するためにキーを変更しています。
考えてみれば、リソースが認証サーバーにコールバックしてクレームを取得した場合。次に、同様の信頼方法によって適切なサーバーと通信するようにします。
私の経験から、すべてのシステムがいくつかの中心的な役割と権限データベースを使用している場合、それらすべてをJWTに追加できます。
ただし、このアプローチは、認証サーバー自体がトークンを受信して信頼するターゲットシステムについて何も認識していないSSOシナリオではうまく機能しない可能性があります。
ユーザーの役割と権限は、完全にJWTトークンの受信者にあります。これは、SSO認証とJWTを、既に権限サブシステムが設定されている一部のレガシーシステムに統合する場合に特に当てはまります。