Boa tarde. Se de alguma maneira houver uma cópia do token JWT e um repasse a outro client, a "sessão" poderá ser acessada por outrem?
É possível evitar isso, caso sim? Como armazenar com segurança o token no client?
Obrigado
Você está vendo a versão anterior da nova experiência da Alura que estamos preparando para você. Em breve, ela ganha uma identidade visual novinha totalmente pensada em potencializar seus estudos!
Boa tarde. Se de alguma maneira houver uma cópia do token JWT e um repasse a outro client, a "sessão" poderá ser acessada por outrem?
É possível evitar isso, caso sim? Como armazenar com segurança o token no client?
Obrigado
Oi Marcos,
Essa é uma questão realmente importante e complicada :D
Não existe uma maneira de proteger totalmente o token de ser "copiado" para outro computador. Se isso acontecer, o token vai ser válido no outro computador e as requisições feitas por ele serão aceitas normalmente.
O que existem são recomendações de segurança ao lidar com tokens de autorização:
Essas são as principais recomendações ao se trabalhar com tokens, mas mesmo adotando todas elas, ainda assim haverá risco de acesso indevido a eles.
Bons estudos!
Muito obrigado!