После успешного входа приложение моего узла возвращает токен JWT.
JWT подписан с идентификатором пользователя, датой истечения срока действия и секретом.
Вот как бы я сгенерировал токен для пользователя с id: 1:
return jwt.sign({
_id: 1,
exp: exp_date),
}, "MY_SECRET");
};
Поскольку мое серверное приложение идентифицирует пользователя по его токену:
Может ли пользователь с «id: 1» отредактировать свой действительный токен, установить его с «id: 2», а затем начать дурачиться во внутреннем приложении, как если бы он был пользователем с «id: 2»?