Das Toekn ist aber nicht userabhängig, also kann ich jeden beliebigen User (E-Mail-Postfach) angeben.
Das kann doch nicht sein, oder?
Damit man den Token bekommt, gibt man doch im Browser die E-Mail,Passwort und 2Faktor etc. ein, und bekommt für diesen Benutzer einen RefreshToken
Der AccessToken kann auch mal 1000 Zeichen lang sein, da steht dann wohl alles mit drin was der Benutzer darf?