En realidad, hubo un error reciente encontrado en JWTs .
Si estás usando node-jsonwebtoken, pyjwt, namshi / jose, php-jwt o jsjwt con claves asimétricas (RS256, RS384, RS512, ES256, ES384, ES512), permitirá a un atacante crear su propio "firmado" tokens con la carga útil que deseen, permitiendo el acceso arbitrario a la cuenta en algunos sistemas.
Si el JWT se almacena en una cookie, otros ataques posibles incluyen la mayoría de los que tienen cookies en general. Por ejemplo, fijación de sesión o no utilizando correctamente Secure o HTTP Only . Sin embargo, es menos probable que la sesión se fije porque los JWT tienden a incluir el nombre de usuario en la reclamación, sin embargo, dependiendo del sistema, existe un tipo de ataque similar al inicio de sesión CSRF puede ser posible.
incluye el jwt en el encabezado de cada solicitud. por lo tanto, cualquier persona que tenga este token con una fecha de vencimiento válida puede tener acceso a los recursos. Estoy en lo cierto, o no entiendo bien las especificaciones.
Esto depende de lo que está en la reclamación. Una fecha de caducidad válida por sí sola es inútil, debe incluir un nombre de usuario válido que la firma confirme que no se ha manipulado.