> спецификация API это про взаимодействие, а не про саму реализацию Слушайте, но если Вы всё верно понимаете - то чему Вы здесь пытаетесь оппонировать?
Обсуждается-то как раз исключительно спецификация.
>> А нагрузка, которая по этому транспорту доставляется - это вопрос доверия к эмитенту нагрузки.
> т.е. к браузеру?
Браузер в данном случае - клиент.
И сервер, который отдаёт нагрузку - в этой цепочке тоже клиент.
Высший элемент цепочки это тот кто выпускаат секрет, на основе которого эмитируются токены.
Вот он как раз таки и является объектом нашего доверия.
> Мы тут говорим про API проверки, что браузер заслуживает
> доверия и ставим под сомнение доверие этому самому браузеру? Это другое
> доверие, да?
Да эта штука на самом деле может прикручиваться к чему угодно - почему только к браузеру?
Это может быть и приложение на смартфоне, и источник данных, которые будет давать Ваши погодная станция и/или умная колонка. Вы же прочитайте как там в спецификации обосновывается, почему не используются JWT, а используются подписанные токены у которых внутри бинарная сериализация данных.
Вы же в начале уже обнаружили своё понимание, что механизм - это одно, а целеполагание того, что он может обеспечивать - немного другое
>> Ну, как же - это же типичное "Первый ценный совет - бесплатно!"
> ну ладно, раз бесплатно, то давайте ваш ценный совет
Ну, я же здесь рекламой не занимаюсь.
И все свои ценные советы предоставляю исключительно платно и адресно.
Но вот бесценный и общедоступный совет показать могу - никому не верьте если Вам скажут, что в споре способна родиться истина. У мозга для этого существуют совсем другие процессы.