Domanda 1: è possibile forzare la forza con questa firma di token?
In teoria, sì. MA due cose che devi prendere in considerazione prima di provare a usare la forza bruta:
Primo: Il segreto cambia per ogni token Web? Se sì, allora i tuoi tentativi di cracking sono validi solo per quel token. Il token contiene informazioni così preziose che desideri spendere giorni o anni di potere computazionale per scomporlo? Chiedi questo a te stesso.
Secondo: Qual è la lunghezza del tuo "codificato (header) .encoded (payload) .signature con un segreto" ? Se hai accesso a una potenza di elaborazione illimitata o a una quantità di denaro illimitata, ti suggerisco di leggere questo post per capire quanto costoso, sarà quello di rompere il tuo hash.
Domanda 2: In che modo è difficile applicare la forza bruta a sha256?
Fare riferimento alla seconda considerazione della risposta alla domanda 1.
Domanda 3: In JWT, break sha256 secret = replica con successo la firma?
Non sono un esperto di JWT. Tuttavia, se ritieni che le risposte alle domande precedenti siano accettabili, ciò significa che capisco il concetto. Quindi, per rispondere alla tua domanda: fai riferimento alla prima considerazione della risposta alla domanda 1. Se i tuoi cambiamenti segreti per ogni token Web, non puoi replicare la firma per riprodurre una transazione. A meno che, se il cambiamento segreto è banale da prevedere, come una sequenza numerata. Se il segreto rimane costante, allora sì, puoi replicare la firma.