I token JWT sembrano un'ottima idea. Puoi inviare una richiesta ad alcune API senza utilizzare la coppia segreta nome utente / password.
Tuttavia, non comprendo appieno i benefici che offre. Ho due domande:
- Per ottenere il token, l'utente deve comunque inviare le sue credenziali ad alcuni server che emettono questi token. Non è un punto debole di tutto questo?
- Se l'attaccante ruba il token mentre viene trasferito, può usarlo per fingere di essere qualcun altro. L'unica differenza tra questo e l'utilizzo della combinazione utente / password è che i token JWT scadono dopo un certo periodo di tempo, quindi l'attaccante non ha molto tempo per fare le sue cose.
La mia comprensione è corretta? Cosa mi manca? Quali sono i reali vantaggi dell'utilizzo di JWT vs utente / password?