işin içine girince jwt mantığı büyük platformlarda en azından bir sosyal platformda çokta güvenli değil sanırım network kısmına apiye erişmiş biri kullanıcın access token ve refresh tokenını ele geçirdiyse kullanıcı fark edene kadar rate limiting yoksa sistemi kullanıcı adına kullanabiliyor bunu engellemenin ip ve cihaz dışında bir yöntemi yok sanırım
Bu sorun JWT'a özel bir şey değil, cookie'lerle session oluşturduğunda da aynı olası problemi adreslemen gerekiyor zaten. Bunu bazı uygulamalar IP tabanlı validasyonla proaktif şekilde önlemeye çalışıyor, diğerleri de kullanıcı istemediği takdirde (beni hatırla vs.) oturum süresini olabildiğince kısa tutmaya çalışıyor. Cookie'lerde tarayıcı kapanınca ilgili cookie'yi silme mevzusu da var, o da bir seçenek olabiliyor. Diğer türlü o oturumun korunmasında kullanıcının da eşit sorumluluğu var. Makinene trojan girip bütün tarayıcı verini çalarsa ne yapabilirsin ki? Ek olarak, JWT kullanıyorsan sitende XSS açığı oluşursa bütün tokenleri yürütürler haberin olsun. O yüzden CSP ayarlarını da iyi yap. Bunu mesela cookie kullanıyorsan eğer
HttpOnly deyip çözebiliyorsun, düşünmene gerek kalmıyor.
Sana tavsiyem first party auth yapıyorsan, cookie ve opak tokenlerden faydalan. JWT'ın sana bir faydası yok işleri karıştırmaktan başka.
https://zitadel.com/blog/jwt-vs-opaque-tokens