Al trabajar en una aplicación web con un sistema de autenticación de token, me pregunto si dar a un usuario acceso para ver su propia identificación de usuario, ¿un riesgo para la seguridad? No se podrá ver fácilmente, primero tendrían que marcar algunas cookies.
No solo busco respuestas específicas para esta implementación, sino que también tengo curiosidad sobre esto en general.
Para mi caso específico, usaré tokens web de JSON, lo que significa que el UID puede verlo el cliente, pero debido a la naturaleza de JWT, el token no es válido si la carga útil se modifica.
En este contexto, no es útil adivinar el UID de otra persona al conocer el formato del UID, ya que solo el uid + la firma forman un token válido y, por lo tanto, una solicitud válida.