Я новичок в концепции аутентификации и JWT. Я модифицировал приложение Sails для создания JWT с помощью jsonwebtoken. Я подписать JWTs, как это: jwt.sign(payload, secret, { expiresInMinutes: 120 });
Могут ли JWT быть эксклюзивными для клиента?
- не значит ли это клиент, имеющий доступ к маркеру может получить доступ к защищенным ресурсам?
- Как использовать полезную нагрузку? Должен ли я сохранять строку пользовательского агента в полезной нагрузке и проверять ее на клиенте?