security - example - ¿Qué tan seguro es JWT?

Solo el servidor debe conocer el "secreto" que se utiliza para generar el JWT. Si alguien modifica los datos contenidos en el JWT, el servidor no podrá decodificarlos. Así que el servidor puede confiar en cualquier JWT que pueda decodificar.

Sin embargo, si un hacker tiene acceso a su computadora, podrían ver el JWT que está almacenado en el navegador y usarlo. Esta misma amenaza existe con las cookies, por lo que no es realmente una falla del JWT.

Una forma de mitigar esta amenaza es la fecha de vencimiento del JWT. Para una aplicación bancaria, su JWT podría caducar después de unos minutos. Para Facebook, podría expirar después de unos meses. Sin embargo, no existe una solución a prueba de balas si alguien obtiene acceso a su navegador.

Otro enfoque para los piratas informáticos sería un "hombre en el medio" para interceptar el tráfico de red entre el cliente y el servidor y obtener la cookie / JWT. La cookie / JWT siempre debe enviarse a través de HTTPS para evitar esto.

EDITAR IMPORTANTE

Finalmente, para responder a la pregunta en su título, "¿Qué tan seguro es JWT?": Depende de cómo almacene el token. El almacenamiento local no es tan seguro como usar cookies ( reference ) pero las cookies pueden estar sujetas a vulnerabilidades CSRF o XSRF .

Esta respuesta solía decir que JWT era más seguro que las cookies, ya que las cookies estaban sujetas a ataques CSRF. Pero almacenar JWT en almacenamiento local tampoco es seguro. Como resultado, ya no almaceno mi JWT en el almacenamiento local y utilizo técnicas bien conocidas para mitigar los ataques CSRF.