хороший кейс - когда за аутентификацию отвечает третья сторона. Какой AWS Cognito, Okta и т.д. Они держат сессию, твоему приложению сессию держать не нужно. Эти штуки могут выдать тебе токен на пару минут чет поделать например. Можно запрашивать токены для определенных скоупов (что бы least privilege principle соблюдать)

Отличный юзкейс для JWT можно подсмотреть в авторизации для docker registry, Centrifugo и прочих солюшенах которые ничего про identity пользователей знать не должны

https://tools.ietf.org/html/rfc2104 и все же не, если не используется х функция - это не хмак

ну вот сча решил проверить тоже да, начал сомневаться

на разных вики по разому

окей, давай на твоем варианте сойдемся. Судя по вики все ж для асиметричной криптографии подписи по другому работают

почему как только речь заходит про секурити и шифрование, то офигеть все становится сложным

че делать то? простая подпись мне кажется ваще норм для моих целей.

а как на каждый реквест проверять валидный ли токен?

ну то есть в целом проверка подписи. Это быстро. Можно еще публичные ключики сложить в jwkset и линковать токены с ключами нужными по их айдишкам. Это достаточно удобно

+ проверка всяких ключей мол когда токен выдан, кому выдан (aud), не истек ли...

правильно ли я понимаю, что при каждом хите твоего пхп скрипта будет запрос на amazon?

нет, зачем? Ну то есть за метаинформацией и ключами? их можно в кэш сложить. Они редко меняются достаточно и они общие для всех.

там ключи есть, берешь ключи и проверяешь подпись

можешь поиграться с каким keycloak, штука клевая. Особенно когда тебе надо потом всякие MFA, политики по паролям форсить и прочие нудные вещи которые самому пилить впадлу. Не говоря про всякую федерацию юзеров.

давайте пока данные передадим с фронта на бэк, чтобы не подменили?

ну та же схема - есть подпись, есть проверка подписи. Можно делать симетрично как SHA256 + secret можно делать через RSA. Плюсы RSA и подобных штук в том что можно публичный ключик расшарить только, в этом случае система которая выдает токены и потребляет не делятся общими секретами

только с кеоклокам побаловался. кратос показался чуть менее функциональным но интересно все же.

если я просто сделаю md5(title + price + smthng + secret), то тоже я секретом не делюсь