Это действительно не может быть, если токен является простым токеном на предъявителя. Как описано в спецификации c, клиент может быть аутентифицирован при использовании токена доступа:
Дополнительные учетные данные аутентификации, которые выходят за рамки данной спецификации, может потребоваться для того, чтобы клиент использовал токен
, но на практике это обычно не делается. p
токен не обязательно должен быть JWT - в зависимости от при реализации возможно, что механизм аннулирования токена также может быть на месте, который можно было бы использовать, если было известно, что токен был украден.
Токены должны быть защищены и отправляться только по HTTPS (требование спе c).