Bawię się ostatnio różnymi sposobami uwierzytelniania i autoryzacji.
Zastanowiło mnie JWT i nurtują mnie 2 pytania:
-
Uwierzytelniamy użytkownika, tworzymy token i potem on sobie lata między frontem a api.
Tyle, że można go bez problemu odkodować. Innymi słowy, jeśli przechwycę czyjś request, wezmę z niego token (jwt) i dodam do swoich requestów to mam pełny dostęp.
Czy ja źle rozumiem? Bo jeśli dobrze to to jest raczej mało bezpieczne. -
Gdzie przechowywać najlepiej sesję. Choćby po to by mieć zapisane kiedy jaki użytkownik się logował albo ile mamy otwartych właśnie sesji (zalogowanych użytkowników)?