Скажем, я сгенерировал JWT из своего бэкэнда и отправил его во внешний интерфейс, который хранит его в локальном хранилище (или в cookie-файле и т. Д.). Что мешает кому-либо заходить в инструменты разработки браузера, копировать токен и использовать его на другом компьютере, пока токен все еще активен (т.е. не истек срок действия)?
Обратите внимание на следующее:
- Человек 1 входит в приложение и получает JWT. Этот токен
затем хранится в локальном хранилище.
- Человек 1 оставляет свой компьютер на 10 минут.
- Приходит Person 2 и копирует JWT Person 1 с помощью инструментов разработчика браузера.
- Человек 2 идет к другому компьютеру и вставляет JWT, взятый у Человека 1, в их локальное хранилище.
Правильно ли говорить, что в приведенном выше сценарии лицо 2 теперь может выступать в качестве лица 1 в заявке? Если так, как бы вы обеспечили это? Я чувствую, что мне не хватает важной информации, на которую я не могу найти ответ.