JWT有兩種用法:

• 防止用戶惡意篡改數(shù)據(jù): 比如你有兩個服務(wù)器A和B, 由A下發(fā)了一個Token給用戶, 然后要由用戶把這個Token提交給B服務(wù)器, 然后用JWT可以保證用戶沒有把Token修改成其它的值, 這樣就免去了服務(wù)器A和B之間的校驗過程, 這個操作只需要一步Hash操作即可完成, 因為只是防止篡改, 并沒有涉及到加密.
• 加密傳輸數(shù)據(jù): 這個其實就是利用非對稱加密操作, 把公鑰放在JWT的明文中, 然后服務(wù)器端用自己的私鑰進(jìn)行解密操作.

說白了JWT只是把我們常用的兩種操作標(biāo)準(zhǔn)化, 并沒有新增加任何特殊的算法.

JWT的前提是使用HTTPS,其實在不實用HTTPS的情況下很多認(rèn)證方式都是紙上談兵。

JWT應(yīng)該它設(shè)計的是目的并不是為了防止被截取的吧，防止被截取的功能由其它協(xié)議來實現(xiàn)，比如SSL。

首先這不是JWT的問題，而是http通訊的安全問題，總所周知http是采用的明文通訊，所以很容易就能夠被竊取到http通訊報文?，F(xiàn)在網(wǎng)站大多是http通訊，那也都面臨著cookie被截取的問題，JWT同理。

解決辦法

首先可以從通信層加密，比如采用https，當(dāng)然https也不是絕對安全的，所以從代碼層面也可以做安全檢測，比如ip地址發(fā)生變化，MAC地址發(fā)生變化等等，可以要求重新登錄。