Jak wiadomo w JWT header i payload nie jest hashowany, hashowany jest podpis wraz z wszystkimi danymi, do podpisu potrzebne jest tajne haslo i ono stanowi calą tajemnice.
Zgadujac to haslo bedzie mozna podrobic kazdy podpis i utworzyc token dla kazdego uzytkownika.
Haslo jak rozumiem dla kazdego tokenu jest takie samo, wiec przy obecnej mocy obliczeniowej metoda brute force nie jest prosto zlamac tajnego hasla tokenu, probowac tak długo az bedzie prawidlowy?