Considerando che ho un'applicazione web basata su JWT, che non controlla JWT rispetto ad alcuni database (il che, a mio modo di vedere, ha reso nullo l'utilizzo di JWT poiché qualsiasi stringa casuale avrebbe reso lo stesso). Il timeout JWT è abbastanza lungo, in modo che duri almeno alcuni minuti dopo che ho 'disconnesso'.
Il computer è condiviso, ma è sicuro che non abbia keylogger, sniffer o modifiche del browser installati (che, diciamo, possono essere verificati, o il sistema è ben protetto e ha solo la connessione internet monitorata, nessuna periferica, o semplicemente tutti è monitorato). Il JWT è memorizzato nella memoria JavaScript, o in localStorage, che viene pulito dopo aver premuto il pulsante 'logout'. La scheda in cui viene chiusa l'applicazione. Dopo che me ne vado, chiunque può sedersi e utilizzare lo stesso browser.
Allora, quanto è sicura la mia applicazione web? Se qualcuno ottiene il token, sarà comunque in grado, per qualche minuto, di lavorare come se fossi io. La memoria locale è stata eliminata. Il debugger del browser era inattivo o è stato eliminato. C'è un altro posto dove chiunque può accedere a dove può essere letto il token?