Web - Serveur

Salut,

Je suis en train de faire ce challenge et j’y réfléchis depuis quelques jours.
J’obtiens le token sur /login, et je comprends le script. Quand je renvois le token sur /admin, il est révoqué, ce qui est normal mais du coup je ne vois pas comment faire pour obtenir le flag sachant qu’on ne peut pas modifier sinon la signature ne peut pas être vérifiée.

J’ai essayé pas mal de choses mais là j’avoue que je bloque un peu, auriez-vous une piste svp ?

Salut,
Il faut ici que tu trouves un moyen de contourner la vérification du token, c’est à dire un moyen d’avoir les mêmes champs dans le token (pour pouvoir te connecter en admin) sans que le token soit reconnu et donc révoqué.
Réfléchis à comment la vérification pourrait être effectuée et comment tu pourrais la bypass.