Teniendo en cuenta que tengo una aplicación web basada en JWT, que no compara JWT con alguna base de datos (lo cual, a mi entender, anularía el uso de JWT ya que cualquier cadena aleatoria haría lo mismo). El tiempo de espera de JWT es lo suficientemente largo, por lo que durará al menos unos minutos después de que 'cierre la sesión'.
La computadora está compartida, pero está segura de que no tiene instalados registradores de teclas, rastreadores ni modificaciones del navegador (que, por ejemplo, pueden ser probadas, o el sistema está bien protegido y solo tiene conexión a Internet monitoreada, no hay periféricos o simplemente todos es monitoreado). El JWT se almacena en la memoria de JavaScript, o en localStorage, que se limpia después de presionar el botón 'cerrar sesión'. La pestaña en la que se cierra la aplicación. Después de que me vaya, cualquiera puede sentarse y usar el mismo navegador.
¿Qué tan segura es mi aplicación web entonces? Si alguien recibe el token, aún así, durante unos minutos, podrá trabajar como eran yo. El almacenamiento local fue purgado. El depurador del navegador estaba inactivo o fue purgado. ¿Hay algún otro lugar al que alguien pueda acceder donde se pueda leer el token?