Я слежу за этим сообщением в блоге (https://auth0.com/blog/2015/04/09/adding-authentication-to-your-react-flux-app/) и смущен в аспекте JWT.Аутентификация с JWT
Постом выше кажется, чтобы проверить, если пользователь уже вошел в систему, проверив, чтобы увидеть, если есть JWT хранится в виде печенья, и если да, то он просто декодирует его, чтобы найти имя пользователя и другую информацию, и перенаправляет пользователя на страницу с проверкой подлинности.
Мне интересно, что мешает кому-то добавить поддельный файл cookie JWT, чтобы получить доступ к аутентифицированной части приложения? Я должен упустить что-то очевидное. Другими словами, поддерживая сеанс, как внешний интерфейс гарантирует, что JWT - это тот, который был «подписан сервером» или что-то еще, а не тот, который был создан для мошенничества, чтобы попытаться получить доступ?
«Мне интересно, что мешает кому-то добавить поддельный файл cookie JWT, чтобы получить доступ к аутентифицированной части приложения?» --- какой ключ вы бы использовали, чтобы подписать его? – zerkms
Итак, когда JWT хранится как файл cookie на интерфейсе, перед выполнением любого запроса сервер проверяет, подписан ли этот JWT с его ключом, и если да, то позволяет? –
«сервер проверяет, подписан ли этот JWT с его ключом, и если да, то разрешает ли это?» --- да. Другими словами - вы не можете доверять никому, отправленному с клиента. – zerkms