Я реализовал сервер без сохранения состояния, который использует JWT для предоставления пользователям доступа к API. мое беспокойство здесь о безопасности. тот же вопрос, но с не очень хорошо ответил:
JWT, аутентификация без сохранения состояния и безопасность
Вопрос: использование некоторых факторов, таких как JWE (для шифрования токена) или использование секретного секрета для подписи токенов & ... может сделать процедуру более безопасной, но что, если ВСЕ БЕЗОПАСНОСТЬ, КОТОРУЮ МЫ РЕАЛИЗОВАЛ, ТОЛЬКО ЗАВИСИТ ОТ СЕКРЕТНОГО КЛЮЧА
что если СЕКРЕТНЫЙ КЛЮЧ будет украден?
тогда независимо от того, сколько уровней безопасности мы использовали, хакер может создать действительный токен, используя секретный ключ, и получить доступ ко всем API. Есть ли решение, чтобы сделать его более безопасным?