Ваше понимание хорошо. По сути, с точки зрения приложения, токен также может быть именем пользователя и паролем. Если у кого-то есть токен, он может аутентифицироваться в вашем приложении. Основная цель в случае файла cookie http - избежать утечки имени пользователя и пароля, если кто-либо получит файл cookie с помощью уязвимости межсайтового скриптинга (XSS) или иным образом. Да, при правильных обстоятельствах они могут «воспроизвести» этот токен для приложения как «человек посередине», но они не должны быть в состоянии выяснить сопряжение имени пользователя и пароля, но, опять же, это не гарантируется, если токен Скажем, алгоритм генерации слаб, например, если вы решили BASE64 кодировать имя пользователя и пароль, объединенные вместе, и использовать это в качестве значения.
Обычно токен -> сопоставление пользователей защищен на стороне сервера. Таким образом, в конечном итоге ваша безопасность основана на обеспечении безопасности токена и обеспечении контроля его срока службы (например, срок его действия истекает и / или он действителен только в том случае, если он предоставлен вам с того же IP-адреса, что и исходный поставщик учетных данных - опять просто пример)
Надеюсь, это поможет,
-Oisin