Domanda di sicurezza JWT e CSRF TOKEN

Sembra che tu non sia chiaro su come vengono utilizzati questi token.

Un JWT è un tipo di "token bearer": si tratta di un token creato da un server particolare e assegnato a un utente per mantenere il segreto. L'utente può in seguito mostrare questo token al server per provare la propria identità.

È molto simile a una password: si invia la password a un sito Web e il server pensa "questa persona conosce la password, quindi deve essere l'utente corretto". Tuttavia, l'invio della password StackExchange a Yahoo Mail non ti consente di accedere, perché Yahoo non riconoscerà la password per un sito Web non correlato. Tuttavia, se prendi la tua password / token e la usi in un altro browser per StackExchange, allora ti lascerà comunque entrare - il che ha senso, perché è la tua password / token.

Un token CSRF è un diverso tipo di token, usato per prevenire un attacco diverso, ma funzionerà comunque solo per i server che lo riconoscono, proprio come una password o un token JWT / Bearer.

Dipende dal servizio.

In alcuni casi, i token potrebbero essere associati al tuo indirizzo IP, ad es. tramite un record di database detenuto dal servizio. In altri casi, il token è valido indipendentemente da dove lo si invia.