Я пытаюсь создать мобильное приложение, используя реагирующую нативную версию, поддерживаемую Spring boot apis, и для реализации аутентификации и авторизации я исследовал и обнаружил, что JWT - это путь.
Существует множество реализаций, например https://medium.com/@maison.moa/using-jwt-json-web-tokens-to-authorize-users-and-protect-api-routes-3e04a1453c3e
У меня есть несколько вопросов:
- Большую часть времени вам необходимо хранить токен JWT в локальном мобильном кэше, чтобы использовать его при последующих запросах. Насколько безопасно хранить токены JWT как есть.
- Обычно ваш пользователь создания не защищен JWT, потому что без создания пользователя вы не можете генерировать токены. Таким образом, это практически означает, что вы эксплуатируете создание своего пользователя, и получается, что хакер может создавать произвольных пользователей, генерировать токены и получать доступ к системе, как этого избежать.
- Как ограничить роли токенов на основе только зарегистрированного пользователя. мы можем связать идентификатор мобильного устройства для генерации токенов JWT .?