pregunta de seguridad JWT y CSRF TOKEN

Parece que no tienes claro cómo se usan estos tokens.

Un JWT es un tipo de "token de portador": es un token creado por un servidor en particular y que se entrega a un usuario para mantenerlo en secreto. El usuario puede luego mostrar este token al servidor para probar su identidad.

Es muy similar a una contraseña: usted envía su contraseña a un sitio web y el servidor piensa que "esta persona conoce la contraseña, por lo que debe ser el usuario correcto". Sin embargo, enviar su contraseña de StackExchange a Yahoo Mail no le permitirá iniciar sesión, ya que Yahoo no reconocerá la contraseña de un sitio web no relacionado. Sin embargo, si toma su contraseña / token y la usa en un navegador diferente para StackExchange, entonces aún le permitirá ingresar, lo que tiene sentido, porque es su contraseña / token.

Un token CSRF es un tipo diferente de token, que se usa para prevenir un ataque diferente, pero aún así solo funcionará para los servidores que lo reconocen, como una contraseña o un token JWT / Bearer.

Depende del servicio.

En algunos casos, los tokens pueden estar vinculados a su dirección IP, por ejemplo. A través de un registro de base de datos en poder del servicio. En otros casos, el token es bueno sin importar desde dónde lo envíes.