In realtà c'era un recente difetto riscontrato nei JWT .
Se utilizzi node-jsonwebtoken, pyjwt, namshi / jose, php-jwt o jsjwt con chiavi asimmetriche (RS256, RS384, RS512, ES256, ES384, ES512) consentirà a un utente malintenzionato di creare il proprio "firmato" token con qualsiasi carico utile che desiderano, consentendo l'accesso arbitrario all'account su alcuni sistemi.
Se il JWT è memorizzato in un cookie, altri attacchi che sono possibili includono la maggior parte di quelli con i cookie in generale. Ad esempio, risoluzione della sessione o non utilizzare correttamente Secure o Solo HTTP flag. Fissazione meno probabile della sessione anche perché le JWT tendono ad includere il nome utente nella richiesta, tuttavia a seconda del sistema un tipo di attacco simile a login CSRF potrebbe essere possibile.
you include the jwt in the header of each request. so anyone who have this token with a valid expiration date can have access to ressources. am i right, or i'm misunderstanding the specs.
Questo dipende da cosa è incluso nel reclamo. Una data di scadenza valida a sé stante è inutile, deve includere anche un nome utente valido di cui la firma conferma non sia stata manomessa.