Lavorando su un'app Web con un sistema di autenticazione token, mi chiedo se concedere a un utente l'accesso per visualizzare il proprio ID utente, un rischio per la sicurezza? Non sarà visibile facilmente, dovranno prima fare alcuni cookie.
Non solo alla ricerca di risposte specifiche per questa implementazione, sono anche curioso di questo in generale.
Per il mio caso specifico, utilizzerò i token Web JSON, il che significa che l'UID è in grado di visualizzare dal client, ma a causa della natura di JWT, il token non è valido nel caso in cui il carico utile venga modificato.
In questo contesto, non è utile indovinare l'UID di un altro utente conoscendo il formato dell'UID, poiché solo l'uid + la firma costituisce un token valido e quindi una richiesta valida.