Почему не стоит хранить логин/пароль в JWT?

Question

JWT легко декодировать (хотя и нельзя изменить без ключа). Хранение пароля в токене рискованно: если токен украдут, злоумышленник получит доступ к аккаунту. Лучше хранить только идентификатор пользователя (sub) и проверять пароль при каждом входе.

YeaHub · Accepted Answer

1. Проблемы безопасностиJWT не шифруется (только кодируется в Base64).Любой может декодировать токен и увидеть данные:echo "eyJ...XVCJ9" | base64 --decodeУтечка токена = утечка пароляЕсли токен украден (например, через XSS), злоумышленник узнает пароль, который может использоваться на других сервисах.2. Что хранить вместо пароляИдентификатор пользователя (sub){
  "sub": "user123",
  "role": "admin"
}Время жизни (exp) — чтобы токен не действовал вечно.3. АльтернативыХеш пароля (но это избыточно, JWT уже подписан).Одноразовые токены + refresh_token для обновления сессии.Вывод:JWT предназначен для передачи минимальных данных. Пароль должен проверяться только при входе, а не храниться в токене.