¿Qué pasa si roban JWT?
Estoy tratando de implementar la autenticación sin estado con JWT para mis API RESTful.
AFAIK, JWT es básicamente una cadena encriptada pasada como encabezados HTTP durante una llamada REST.
Pero, ¿y si hay un espía que ve la solicitud yroba la ficha? Entonces, ¿podrá falsificar una solicitud con mi identidad?
En realidad, esta preocupación se aplica a todosautenticación basada en token.
¿Cómo prevenir eso? ¿Un canal seguro como HTTPS?