У меня есть экспресс-бэкэнд, который реализует аутентификацию JSON Web Token.После того, как пользователь предоставил правильное имя пользователя и пароль, токен генерируется с использованием секрета.
Теперь предположим, что этот пользователь хочет удалить свой проект, для этого в программы / / programId отправляется запрос DELETE.,Сервер API использует промежуточное ПО JWT для проверки правильности токена, затем база данных обновляется.
В основном мой вопрос: как я могу убедиться, что пользователь, который делает запрос, является владельцем проекта??Если я могу просто отправить запрос на правильный маршрут с любым действительным токеном и действительным телом, что помешает любому пользователю отправлять вредоносные запросы и удалять / редактировать / получать доступ к данным другого пользователя?
Это как-то связано с полезной нагрузкой JWT?
Спасибо.