W niedawno zadanym pytaniu dostałem w odpowiedzi coś o nazwie JWT, co jest dokładnie tym czego potrzebowałem, tylko po przeczytaniu dość dużej ilości informacji na ten temat nie potrafie zrozumieć logiki działania owego tokenu.
Server jest przykładowo w Node.js, a aplikacja SPA vanilla JS.
Z klienta (aplikacji) jest tworzony token do servera z danymi logowania (Czy to server tworzy token dostępu? Jeśli tak dane logowania są wysyłane tylko przez samo https? metodą bruteforce wysyłając loginy i passy do api można utworzyć wiele tokenów dla użytkowników.).
Server tworzy owy token z certyfikatem, jak SPA lub aplikacja mobilna (cordova) z otwartym kodem ma sprawdzić poprawność certyfikatu jeśli w publicznym kodzie nie powinniśmy umieszczać sekretnego hasła do podpisu cyfrowego?
Jeśli to wciąż SPA tworzy token, jest dokładnie sam problem, żeby go stworzyć aby server mógł go sprawdzić sekretne hasło musi być umieszczone w kodzie, dostępnym.
Token jest generowany raz? Czy na każdy request a w nim dane?
Naprawdę byłbym wdzięczny za wytłumaczenie tego jak dziecku bo nie mogę zrozumieć jak to dokładnie działa.