Der Token ist übrigens kein Cookie, damit sind sogenannte JWT, JSON Web Token gemeint, ein gängiger Authentifizierungsmechanismus zwischen Javascript Frontends (auch gerne als SPA/PWA ausgelegt) und dem Backend, um eben mit der API zu interagieren.
Ein solcher User JWT hat mehr Rechte als ein JWT für zB einen Bot, man kann damit alles was der Nutzer kann, denn man ist eben DIESER Nutzer.
Aber das wird hier schon wieder zu viel.... Also lasse ich es lieber
.
Falls doch jemand es noch mehr ausgeführt mag, warum MFA nicht gleich MFA ist und das größte Sicherheitsrisiko, den layer 8, eben auch kein MFA entgegenwirkt, darf es ruhig sagen.
Super spannendes und wichtiges Thema. Definitiv einen Extra-Thread wert.
Interessante Seite mit Input dazu gefunden
Zitat:
"A JWT can be viewed but not manipulated on the client side. You can take your token to jwt.io, choose the algorithm you used to sign, and see the data. You just can’t tamper with it because it’s issued on the server.
The lifespan of a JWT should be kept short to limit the risk caused by a leaked toke."
Fazit: Der Serveradministrator ist für die Dauer des Tokens und Sicherheit des Nutzers, bezogen auf den Token, verantwortlich. 
