mooney583377
Member
thế nên mới sinh ra quả đi compare thông tin trong jwt với các nội dung khác để validateJWT thì client ko tự chế đc nhưng những thông tin khác của request thì fake đc hết, nên mới dẫn tới dễ bị IDOR nếu ko cẩn thận đó man, vì mình ko control đc cái JWT từ đâu mà ra, đc map với user nào vào lúc nào
còn việc đi lưu cái jwt vào DB thì k có ý nghĩa gì với bảo mật, thậm chí còn mất an toàn hơn do thêm 1 chỗ để khai thác thông tin.