Estaba leyendo este artículo y dice que podría haber algunas vulnerabilidades con JWT.
Del artículo:
Había dos formas de atacar una biblioteca JWS que cumple con los estándares para lograr una falsificación de token trivial:
- Enviar un encabezado que especifique que se use el algoritmo "ninguno"
- Envíe un encabezado que especifique el algoritmo "HS256" cuando la aplicación normalmente firma mensajes con una clave pública RSA.
Pero para enviar estos encabezados, ¿no necesitaría el atacante tener acceso al secreto?