Я создаю приложение, в котором мой клиент написан на Electron и React, а мой бэкэнд написан на Express. Я не хочу требовать, чтобы пользователи входили в систему или имели учетную запись для использования моего приложения, но я хочу сделать так, чтобы люди не могли получить доступ к API.
Я хочу использовать JWT для достижения этой цели, но делаюне до конца понимаю, как это реализовать. Насколько я понимаю, я генерирую токен JWT, а затем сохраняю его на клиенте и отправляю в заголовок, когда делаю запрос на его аутентификацию. Является ли это правильным / безопасным способом сделать это?
Проблемы, которые я предвижу с этим, состоят в том, что, если мне нужно обновить токен, мне также придется отправить обновление в мое приложение, и всем пользователям потребуетсяскачать его. Есть ли способ предотвратить необходимость обновления приложения при обновлении токена? И поскольку я буду хранить токен на клиенте, не будет ли легко кому-то скопировать его, а затем использовать для использования моего API?