Вы всегда можете скопировать куки-файлы из браузера, в который пользователь вошел, и подключить их к другому браузеру на другом компьютере и пройти аутентификацию таким образом.
Если вы хотите предотвратить это, вы можете добавить утверждение к токену, который идентифицирует браузер и / или клиента, который необходимо будет проверить на сервере.
Вы могли бы дляНапример, добавьте пользовательский агент и общедоступный IP-адрес клиента и проверяйте эту информацию из токена при каждом запросе на сервере.
Однако пользовательский агент поддельный и его общедоступный IP-адрес может измениться.