В криптографию просто никто не лезет, потому что механическая сложность растёт.

ломаем продукты в которых "нет лакомых кусков", добираемся до идентити пользователей и че они заказывали, продаем данные. Или коллектим их. Или собираем базу кредов (если вдруг кто пароли в открытом виде хранит ибо кому и зачем заниматься взломом пользователей). Скорее всего эти пользователи реюзают креды для других более интересных ресурсов. Ну то есть не всегда путь прямой. чаще ломают косвенно. И чаще ломают по принципу "убедить супорт инженера что ты его начальник что бы тот базу переслал".

На худой конец можно просто в спам базы людей продавать.

не могу понять, кто может подменить данные отправленные с фронта на бэк?

Любой, кто знает http или js

Это да, но так можно дойти до авторизации по паспорту со всеми этими секурити

отправка не по https?
ну а тот кто знает js и захешить может фальшивый билет.

Не имея секрета не сможет. Отправка по https

тогда кто он, man in the middle?

понятно, когда один бэк подписывает, а второй бэк верифицирует. а када фронт подписывает, не ясно, что мешает тени юзера переподписать не-тот-билет

а кто нить использует верификацию по смс?

нет, в самом браузере просто изменяешь post данные, которые уйдут на сервер и всё

фронт ничего не подписывает.

бэк отдает браузеру данные, которые потом должны будут post запросом уйти на бэк снова. и вот надо чтобы пока данные на фронте была гарантия их неизменности.

бэк подписывает - отдает браузер - браузер передает бэку и бэк может верифицировать

для чего отдавать на едит фронту, чтобы потом поймать тоже самое на беке, но неизмененным

там как я понял не edit, а выбор просто. нужно обезопасить, что данные не подменили.

а форма не валидирует?

@ivoryfIower вот кейс

+++++

я так поняла, что форму ты сам пилишь?

не билдером?

Басик, что за форма? если ты про ту, которая отправляет данные постом на сервер, то это вообще ng приложение и запрос выглядит как this.httpService.post('/api-endpoint-buy-ticket', data)

я думал уже никто symfony/form`ами не мыслит))