По JWT:
Я не куки-диссидент, но многие плюсы стандартного подхода к выпуску и управлению сессиями верны в большинстве своём только в вебе, когда есть клиент в виде браузера. А что делать в случае необходимости делегирования выпуска токенов или с2с взаимодействии, типо JWT имеет место быть. Да есть риски, но и в стандартном подходе их хоть отбавляй, в чем разница тогда? Или я не верно понял посыл?
По паролям:
Ты привёл в качестве примера отказа от паролей медиум, где ссылка приходит на имейл, но это же по сути просто переложение ответсвенности в борьбе за устойчивость к проблемам с паролями. И в такой ситуации мы должны оценивать доверие к сервису, например, в случае банковского приложения мы не можем себе такого позволить, доверять кому то.
И второй пример был с ОТП в смс, тут тоже есть нюансы. Они очень удобны да, но в основном для мобилы, а есть приложения, которые никогда не уйдут в мобилу из за своей специфики, тот же github или gitlab, более того как быть с 2фа, навешивать гугл актентификатор?
Но даже если это мобила, то как в случае локального пина обеспечить корректный его сброс, ведь по сути пин становится бесполезным, поскольку можно всегда его скинуть и зайти через ОТП из смс.
Я опять же не топлю за пароли, но как мне кажется, пока далеко не каждый сервис готов выкинуть пароль, либо выкинуть его и мириться с рисками кражи устройства/быстрого доступа к нему
Плюс надо ещё бороться с бесконтрольной отправкой ОТП на разные номера, тоже интересный вопрос как это сделать правильно?
