Блог

Вопрос:

1. Клиент отправляет JWT на сервер, подписанный закрытым ключом клиента
2. Сервер использует http (а не https) для получения открытого ключа, чтобы УБЕДИТЬСЯ, что JWT подписан клиентом, кэширует открытый ключ клиента.
3. Злоумышленник перехватывает http-соединение, изменяет открытый ключ на открытый ключ злоумышленника и отправляет JWT на сервер с подписью злоумышленника на нем, представляющей собой сообщение, отправленное от Клиента.

Есть ли выход из этой модели угроз? Спасибо