Sto scrivendo un'app intorno a un'API REST che non consente al server di invalidare una sessione, ovvero non esiste un endpoint come logout
che renderà invalido il cookie che la mia app utilizza da ora in poi.
Quindi vedo che se un hacker intercetta quel cookie, quindi un utente si disconnette (il che significa per me - rimuove il cookie) e quindi l' hacker è in grado di effettuare chiamate all'API nonostante l'utente non sia più possibile.
Posso fare qualcos'altro oltre a rimuovere il cookie?
Cookie ha un timeout - 24 ore. Questo timeout viene rinnovato ogni chiamata all'API.