JSON Web Token 如何保证 token 的安全性？

@Varobjs 日志不是越详细越好呀 打出关键信息就行，何为关键，就需要一些经验了，多查几次线上问题就知道了

即使 debug 日志也不要打密码，你说的密码配置错了，连接的时候错误信息会提示呀

@tachikomachann jwt 有 exp 的 claim 啊

jwt 就没啥安全性可言。之前了解过。还不如直接用 token

为什么要保证？都拿到了你的 token 或者 cookie 了，说明安全问题已经出现了

因为一般一个 token 只是能拿到当前用户的权限，并不是 admin 级别的啊，你自己的 token 是删不了其他用户的东西的，如果可以，说明后台偷懒了

设备生产一个 唯一的 device id， 登录的时候 存储 device id。
同时验证 token 和 deviceid。

尝试过 jwt，认为不是一个适用于登录登出场景的方案，用户修改密码，注销登陆都不好解决，或者说都需要数据库来辅助实现，倒不如直接使用 token。有 redis 的辅助，可以很方便实现在线用户数统计，用户实际在线时长统计。所以啊，jwt 还是更适用于一次性的数据传输。

额 按道理说调用后台的话 先解析 token 获取比如说用户名 然后根据用户名再查这个用户有没有权限类似的 怎么就会调用所有接口呢。

jwt 只是为了方便系统间交互，并不安全，想安全那就要在网络传输方面下功夫

用 https 防劫持，至于端的安全你是无能为力的

你凭什么能拿到别人的 token?

1 楼回答已经结贴了，sf 发的帖，又跑这来了

别人拿到你的 token 也没用,你接口如果有签名校验,怎么攻击你,参考支付宝和微信的接口

@xiadong1994 #22 jwt 的 exp 没法实现服务端主动失效吧？比如用户登出后注销所有会话，用户改密码了，用户被禁用了。

后端也不是有一个 token 就能访问所有服务的呀。。。没有权限控制？

token 有啥？没有 RABC 的锅找 token 背？