Я пытаюсь внедрить аутентификацию без состояния с помощью JWT для моих API RESTful.
AFAIK, JWT - это в основном зашифрованная строка, переданная как HTTP-заголовки во время вызова REST.
Но что, если есть подслушивающее устройство, которое видит запрос и крадет токен? Тогда он сможет подделать запрос с моей личностью?
Собственно, эта проблема относится ко всем аутентификации на токенах.
Как это предотвратить? Безопасный канал, такой как HTTPS?