نشانه های JWT به نظر می رسد یک ایده بسیار خوب است. شما می توانید یک درخواست برای برخی از API ارسال کنید بدون استفاده از نام کاربری / رمز عبور خود را مخفی کنید.
با این حال، من به طور کامل مزایای آن را درک نمی کنم. من دو سوال دارم:
- برای دریافت نشانه، کاربر همچنان نیاز به ارسال اعتبار خود را به برخی از سرور که مسائل مربوط به این نشانه ها را صادر می کند. آیا نقطه ضعفی در این مورد نیست؟
- اگر حمله کننده در هنگام نقل انتقال علامت را دزدی می کند، می تواند از آن استفاده کند تا وانمود کند که شخص دیگری است. تفاوت تنها بین این و استفاده از رمز عبور کاربر / رمز عبور این است که برچسب JWT پس از یک دوره زمانی از بین می رود، بنابراین مهاجم زمان زیادی برای انجام کاری ندارد.
آیا فهم من درست است؟ چه چیزی از دستم رفته؟ مزایای واقعی استفاده از JWT vs user / password چیست؟
