Могут ли JWT быть эксклюзивными для клиента?

Question

Я новичок в концепции аутентификации и JWT. Я модифицировал приложение Sails для создания JWT с помощью jsonwebtoken. Я подписать JWTs, как это: jwt.sign(payload, secret, { expiresInMinutes: 120 });

1. не значит ли это клиент, имеющий доступ к маркеру может получить доступ к защищенным ресурсам?
2. Как использовать полезную нагрузку? Должен ли я сохранять строку пользовательского агента в полезной нагрузке и проверять ее на клиенте?

Answer 1

Да, любой владеющий токеном может назвать ваш API. Вот почему все должно пройти через SSL, и срок действия должен соответствовать чувствительности того, что он делает.

JWT обычно посылают на Authorization заголовок:

Authorization: Bearer {your token here}

Кстати, вы можете проверить содержимое/подписи здесь: http://jwt.io