- 为了减少盗用,JWT 不应该使用 HTTP协议明码传输,要使用HTTPS协议传输。
- JWT 本身包含了认证信息,一旦泄露,任何人都可以获得该令牌的所有权限。为了减少盗用,JWT 的有效期应该设置得比较短。对于一些比较重要的权限,使用时应该再次对用户进行认证。
- 使用安全系数高的加密算法
- 对token进行签名操作,比如将所有的参数,包括token和timestamp 按照自己的算法进行排序加密得到签名。
- 可以设置HttpOnly和Secure和SameSite字段来保护存放在cookies里的token
