Можно ли хранить учетные данные пользователя (имя пользователя / пароль) в JWT (так sign
это и verify
полученный токен позже)?
Я слышал что
Нет, отправлять пароль в JWT небезопасно. Это связано с тем, что утверждения JWT просто кодируются и могут быть легко декодированы любым, кто их видит. Хранить конфиденциальную информацию в JWT, возвращаемом пользователю, небезопасно.
но я не знаю, почему веб-сайт JWT рекомендует использовать его для целей аутентификации, тогда:
Когда следует использовать веб-токены JSON?
Вот несколько сценариев, в которых полезны веб-токены JSON:
Аутентификация: это наиболее распространенный сценарий использования JWT. После входа пользователя в систему каждый последующий запрос будет включать JWT, позволяя пользователю получать доступ к маршрутам, службам и ресурсам, разрешенным с помощью этого токена. Единый вход - это функция, которая в настоящее время широко использует JWT из-за ее небольших накладных расходов и ее способности легко использоваться в разных доменах.