由于这个原因,许多人似乎在JWT的安全方面存在问题,并且在不失去使用JWT的好处的情况下无法列入白名单/黑名单。关于在每次重启服务器时生成新秘密,请记住,每次更改密钥时,您基本上都会“注销”当前登录的每个用户,或者出于其他目的而使用它。我认为通常的做法是确保秘密仍然只是秘密。据我所知,一个长的随机生成的字符串保存在一个极少数人可以访问的文件中,这是防止当前机密泄露的最佳方法。
另外要记住的是,JWT中的任何人都不会隐藏数据。任何人都可以看到您存储的内容,因此不要在其中存储任何敏感数据。您可能已经从阅读中知道了这一点,但是在JWT正文中意外遗留敏感数据是一个非常容易和致命的错误。