Petro123kealon(Ruslan)hVostt,
есть способы, в принципе https на этом пострено
в частности с паспортом, его же не по почте присылают, валидацией выступает работник паспортной службы у которого его получаешь и знаки защиты
Не понимаю, почему тут не принято давать ссылки на документацию?
авторJSON Web Token (JWT) — это открытый стандарт (RFC 7519) для создания токенов доступа, основанный на JSON формате. Как правило, используется для передачи данных авторизации в клиент-серверных приложениях. Токены создаются сервером, подписываются секретным ключом и передаются клиенту, который в дальнейшем использует данный токен для подтверждения своей личности.
Иными словами, токен это заменитель куки и он для сервера а не для клиента.
Т.е. чтобы сервер тебя узнал при повторном входе.
Если клиент сам стал сервером, тогда другой разговор.
А так, ни куки, ни токены валидировать не надо.
Нет. Это не просто кука. А некий "паспорт" где прописаны права доступа предоставленные юзеру (к примеру).
Токен нужен не только самому серверу - проверить, что токен не подделали, но и возможной третьей стороне.
В яндексе на этом многое построено, вот почитайте
https://tech.yandex.ru/oauth/
Юзер логинится в свой акк только раз, а уже сотни приложений могут использовать яндексовый токен как тот самый паспорт юзера.
Соответственно встает необходимость убеждатся, что токен не подделан. Что его сгенерировал Яндекс.
