Recentemente ho riscontrato la pratica dei sistemi che utilizzano JWT come token di accesso. Ho una preoccupazione e non sono sicuro che sia infondato:
Associo le JWT al protocollo OpenID Connect, dove vengono utilizzati come token ID. Hanno nel pubblico previsto. Le affermazioni in loro dovrebbero essere solo per quel pubblico. Ad esempio, potrei essere felice che un pubblico abbia il mio numero di telefono ma non un altro.
D'altra parte un token di accesso opaco non contiene nient'altro che la mia autorizzazione ad accedere a una risorsa. Riguarda la delega; quel token può viaggiare in sicurezza da un sistema all'altro, con il mio permesso (conferma?).
Tuttavia se usi efficacemente un token ID come un token di accesso, non solo stai passando il mio permesso per accedere a una risorsa, ma stai passando dettagli su me .
Ho frainteso qualcosa o questa dovrebbe essere una vera preoccupazione?