Pesquisar na Comunidade

.

Pessoal, sobre o JWT Json Web Token, tenho algumas dúvidas. Atualmente faço uso de $_SESSION no PHP para autenticar e validar usuários e seus acessos à API e, logins no site/admin, dentre outras coisas. Mas, estudando aqui sobre API's, percebi a grande utilização do JWT em conjunto com a autenticação. 1 => No form de login o usuário de identifica 2 => Se as credenciais existirem o usuário ganha o retorno OK e cria uma $_SESSION com as credenciais. Mas isso é quando Ambiente Admin e API estão no mesmo domínio. Quando estão em domínios diferentes está sendo usado o JWT. Mas, aí vem a dúvida: É confiável para níveis de acesso e autenticação? Andei pensando em umas coisas: A) Enviar no Token o nível de acesso do usuário. Se é administrador, API, etc... Mas isso pode ser mudado pelo man-in-the-middle. B) Então pensei em enviar via SECRET. Também não dá pois o segredo deve ser 1 para todo e qualquer acesso ficando impossível a verificação do TOKEN pela API C) Pensei enviar via cabeçalho (header). Mas no caso, é a API quem gera o Token. Logo, não dá! Será que não existe saída? Terei mesmo que usar $_SESSION para nível de acesso e JWT para validação da requisição? Será que estou tendo uma visão errada do cenário? Alguém pode me ajudar a enxergar isso? Meu sistema de diretórios é: site/admin //administrador da API site/api // A própria API