در حال حاضر من در حال اجرای یک برنامه IOS هستم ، که با سیستم میزبانی وب .net با پس زمینه میزبان ابر همراه است ، که

انتهای ورود api کاربر / گذر را می گیرد – – با پاسخ فقط با امضای HS256 jwt توافق می کند. تمام تماسهای بیشتر به قسمت انتهایی نیاز به یک سرآیند اجازه تحمل نوع دارد ، و نقطه انتهایی از نوسازی این نشانه پشتیبانی می کند ، تا زمانی که این نشانه منقضی نشده باشد ، برای آنچه که به نظر می رسد مدت زمان نامحدود است.
(که به خودی خود عالی نیست) به نظر می رسد طرف سرور امضای این نشانه را در هر درخواستی تأیید می کند.

در گذشته که فقط از علائم RSA استفاده می کردیم ، همیشه کلید عمومی را با مشتریان به اشتراک می گذاشتیم تا آنها بتوانند امضای آن را تأیید کنند. با این حال از آنجا که این API فقط از HS256 پشتیبانی می کند ، این امکان پذیر نیست.

مشتری می تواند از طرف مشتری چه امضائی را تأیید نکند ، چه خطرات امنیتی دارد؟
یک مورد واضح دسترسی به داده های ذخیره شده درون صفحه ها است. اما آیا موارد جدی تر وجود خواهد داشت؟
از قبل ممنونم.